CC BY
78
УДК / UDC 343 DOI: 10.34076/22196838_2022_2_55
криминалистическое исследование компьютерного (клавиатурного) почерка
Цветкова Анна Денисовна
Студент Уральского государственного юридического университета
им. В. Ф. Яковлева (Екатеринбург), сотрудник группы проектов CrimLib.info,
ORCID: 0000-0002-1631-9265, e-mail: at@crimlib.info
Работа построена на аргументированной гипотезе о том, что компьютерный (клавиатурный) почерк имеет много общего с традиционным рукописным, в результате чего также содержит информацию о своем носителе и характеризуется относительной стабильностью, воспроизводимостью и индивидуальностью. Обосновывается важность этого факта в условиях, когда рукописные тексты постепенно утрачивают свое значение, а вопросы определения исполнителя электронных материалов ставятся все чаще. Исходя из этого, предлагается выделить самостоятельную подотрасль криминалистической техники - криминалистическое исследование компьютерного (клавиатурного) почерка, в рамках которого будут рассматриваться признаки компьютерного почерка, позволяющие идентифицировать исполнителя или ответить на ряд диагностических вопросов о нем. К этим признакам относятся: степень выработанности, темп набора и скорость печати, динамика ввода, сила нажатия на клавиши, модель внесения исправлений, системные опечатки и др. Указываются факторы, которые могут влиять на устойчивость компьютерного почерка: психоэмоциональное состояние исполнителя, условия создания текста, вовлеченность в процесс, привычность клавиатуры, характер текста и т. д. Излагаются основы методики соответствующей криминалистической экспертизы, носящей комплексный характер и способной занять место на стыке компьютерно-технических и почерковедческих исследований. Характеризуются этапы исследования, объекты, цели и задачи экспертизы; приводится перечень примерных вопросов, предлагаемых экспертам. Детально рассматривается технология кейлоггеров - устройств для захвата показателей клавиатурного почерка.
Ключевые слова: компьютерный (клавиатурный) почерк, идентификация исполнителя печатного текста, кейлоггер, криминалистическое исследование компьютерного почерка, комплексная компьютерно-техническая и почерковедческая экспертиза
Для цитирования: Цветкова А. Д. Криминалистическое исследование компьютерного (клавиатурного) почерка // Электронное приложение к «Российскому юридическому журналу». 2022. № 2. С. 55-65. DOI: https://doi.org/10.34076/22196838_2022_2_55.
THE FoRENSiC EXAMiNATioN oF Computer (keyboard) HaNDWrmNG
tsvetkova anna
Student, Ural State Law University named after V. F. Yakovlev (Yekaterinburg), employee, CrimLib.info Project Group, ORCID: 0000-0002-1631-9265, e-mail: at@crimlib.info
The article is based on the reasoned hypothesis that computer (keyboard) handwriting has much in common with traditional handwriting, thus, it also contains information about its carrier and is characterized by relative stability, reproducibility and individuality. This fact is really important today, when handwritten texts are gradually losing their significance, and the issues of determining the performer of electronic materials are increasingly being raised. Based on this, it is proposed to single out an
independent sub-branch of forensic technology - a forensic study of computer (keyboard) handwriting, which will consider the signs of computer handwriting identifying the performer or giving answers to a number of diagnostic questions about him. These signs include: the degree of elaboration, typing pace and typing speed, input dynamics, keystroke force, model of corrections, system typos, etc. The factors that can influence computer handwriting are indicated: the psycho-emotional state of the performer, conditions for creating the text, involvement in the process, familiarity of the keyboard, nature of the text, etc. The author outlines the methodology basics of the relevant forensic examination, which has a complex nature and can take place at the junction of computer-technical and handwriting studies. The stages of the study, objects, goals and objectives of the examination are disclosed; a list of sample questions proposed to experts is given. The technology of keyloggers - devices for capturing indicators of keyboard handwriting - is considered in detail.
Key words: computer (keyboard) handwriting, identification of the performer of the printed text, keylogger, forensic examination of computer handwriting, complex computer-technical and handwriting expertise
For citation: Tsvetkova A. (2022) The forensic examination of computer (keyboard) handwriting. In Elektronnoe prilozhenie k «Rossiiskomu yuridicheskomu zhurnalu», no. 2, pp. 55-65, DOI: http:// doi.org/l0.34076/22196838_2022_2_55.
С наступлением XXI в. значимое место в жизни человека стали занимать персональные компьютеры и ноутбуки; почти канули в Лету рукописные письма, сменившись электронными; взрослые люди в повседневной жизни почти ничего, кроме собственных подписи и кратких записей, не создают от руки. Именно механическая работа нашей руки, прописывающей буквы, отвечает за формирование почерка, характеризующегося особенностями, которые позволяют осуществлять криминалистическую идентификацию личности.
В последние годы все чаще изучается феномен компьютерного (клавиатурного) почерка, а на стыке технико-информационных наук и криминалистики разрабатываются методики идентификации человека по нему. Мы считаем, что компьютерный почерк непосредственно связан с рукописным и имеет с ним единую природу. Раскрыть и обосновать данную позицию мы постараемся в настоящей работе.
Системы письма всегда были нацелены на упрощение: максимально широкий круг людей должен уметь применять символы для передачи мыслей, описания событий и одновременно написанное должно быть однозначно понято другими1. С конца XX в. до настоящего времени мы можем наблюдать новый виток в развитии письма, переход на качественно новый уровень взаимопонимания между создателем текста и его адресатом. Заслуга в этом принадлежит компьютерам как новым «письменным принадлежностям»2: ведь почерк каждого человека индивидуален и варьируется по степени разборчивости, в то время как отпечатанные на клавиатуре символы пусть и не абсолютно идентичны за счет вариативности шрифтов, но всегда однозначно различимы.
Компьютерное письмо, несмотря на имеющиеся различия, сущностно едино с традиционным - ручным. Чтобы доказать это, рассмотрим феномен, связанный с письмом и письменной речью, - почерк.
Начать нужно с важного аспекта - организации обучения письму. Так, уже в школах Древнего Египта формировали навык единообразного изображения символов3, однако специализированные прописи появились только в Новое время4. И по сей
1 Волошина О. История письменности. Коротко об истории письма // Русский язык. 2009. № 10. URL: https://rus.1sept.ru/view_article.php?id=200901001 (дата обращения: 16.02.2022).
2 КохЕ. История инструментов для письма // Наука и Техника: электронная библиотека. 2000. 5 янв. URL: http://n-t.ru/tp/it/ip.htm (дата обращения: 16.02.2022).
3 Лазаридис Н. Образование и ученичество в Древнем Египте / пер. В. Г Безрогова, В. К. Пичугиной // Ценности и смыслы. 2020. № 1. С. 15.
4 Шустова Ю. Э. Азбуки-прописи конца XVII - начала XVIII в. из частных собраний // Вестник Православного Свято-Тихоновского гуманитарного университета. Сер. 4: Педагогика. Психология (ПСТГУ). 2019. Вып. 53. C. 73.
день большое внимание уделяется тому, чтобы добиться от детей стандартизированного написания букв; этот подход поддерживается преподавателями и психологами1, но значительно мешает криминалистам, так как снижает возможную вариативность почерка. Что касается печатного письма, то здесь тоже существуют свои «прописи» -клавиатурные тренажеры; правда, распространены они не так широко. Данные программы обладают несколькими существенными отличиями от традиционных прописей. Во-первых, их задача - не выработать единообразную манеру письма, а сформировать навыки скоростного набора текста без опечаток. Во-вторых, начинать их использование следует, когда ребенок уже хорошо владеет языком, на котором необходимо печатать2. Таким образом, клавиатурные тренажеры направлены не на формирование базового навыка, а на совершенствование уже имеющегося. Впрочем, есть между рассматриваемыми системами обучения и общее: обе учат правильным положению руки (рук), осанке, расстоянию до листа бумаги (дисплея); обе воздействуют на кистевые мышцы, вызывая напряжение в них и в связи с этим требуя перерывов для разминки рук на начальных этапах обучения. Тем самым механизмы контролируемого формирования компьютерного почерка схожи с теми, что применяются для выработки навыка ручного письма.
Обратимся к определению почерка, которое было сформулировано в конце прошлого века Л. А. Винбергом и М. В. Шванковой, заложившими основы судебного почерковедения: «Почерк - это зафиксированная в рукописи система привычных движении, в основе формирования которой лежит письменно-двигательный навык»3. Теория криминалистической техники к настоящему моменту углубила понимание данного понятия. Так, уже не один двигательный, но комплекс письменно-двигательных функционально-динамических навыков формируют почерк, а сам он не система движений, но результат, итоговая программа выполнения навыков, «содержащая зрительно-двигательный образ» выполняемых символов и специальную систему движений4. Оба определения указывают на рукописную природу результата визуализации почерка. Однако если исключить данную характеристику и сосредоточиться на основополагающих признаках почерка, которые как раз и были разработаны за последние полвека, то окажется, что этими признаками обладает также компьютерный (клавиатурный) почерк.
Предложим следующее определение компьютерного (клавиатурного) почерка: это основанная на печатно-двигательном функционально-динамическом комплексе навыков и получающая отображение в печатных символах программа их выполнения, содержащая субъективный и объективный зрительно-двигательные образы набираемых символов и специально приспособленную для их реализации систему движений.
Раскроем признаки, приведенные в данном определении:
1) в основе компьютерного почерка лежит печатно-двигательный функционально-динамический комплекс навыков, т. е. руки совершают целенаправленные движения по клавиатуре;
2) компьютерный почерк выражается в печатных символах, т. е. у исполнителя есть заранее сформированный образ того, что он желает увидеть на экране в результате нажатия определенных клавиш;
3) в процессе печати складываются субъективный и объективный зрительно-двигательные образы набираемых символов. Это особенно четко прослеживается при «слепой печати»: исполнитель сначала представляет, какой символ появится перед ним на экране, если он произведет определенное движение пальцами и кистью, а после нажатия получает стандартизированное изображение;
4) у исполнителя сформирована специальная система движений, т. е. доведены до автоматизма действия, совершаемые пальцами и кистью для передачи на экран с клавиатуры желаемых символов.
1 Бондаренко Р. В., Захарова Л. Ю. Влияние методики обучения письму на формирование двигательного навыка // Фотография. Изображение. Документ. 2016. Вып. 7. С. 36.
2 Цветкова М. С., Богомолова О. Б. Культура клавиатурного письма: метод. пособие. М.: Бином. Лаборатория знаний, 2009. С. 5.
3 ВинбергЛ. А., Шванкова М. В. Почерковедческая экспертиза: учеб. / под ред. Р. С. Белкина. Волгоград: б. и., 1977. С. 5.
4 Криминалистика: учеб.: в 3 ч. / отв. ред. Л. Я. Драпкин. 2-е изд., испр. и доп. М.: Юрайт, 2018. Ч. 1. С. 126.
Таким образом, компьютерный почерк, аналогично рукописному, базируется на комплексе специальных движений, требуемых для запечатления конкретных символов, образ которых находится в сознании исполнителя текста. Последнее в полной мере свойственно «слепой печати», в остальных же случаях все символы располагаются перед глазами человека и хранить их в памяти не нужно.
Помимо этого, компьютерный почерк обладает еще несколькими криминалистически значимыми свойствами: индивидуальностью, относительной устойчивостью и воспроизводимостью1, которые обеспечивают возможность его применения в качестве идентифицирующего объекта2.
Компьютерный почерк как криминалистически значимое явление обладает следующими признаками:
1. Степень выработанности. Она может быть высокой, средней или низкой, что зависит от количества используемых при наборе пальцев, скорости печати и числа допускаемых ошибок. Например, при высокой степени выработанности пользователь использует от восьми до десяти пальцев, набирает более 200 знаков в минуту и допускает не более 1,5 % ошибок; при низкой - использует один или два пальца, набирает менее 100 знаков в минуту, а количество ошибок превышает 5 %.
2. Темп набора. Данный признак указывает на то, как быстро человек печатает отдельное слово, предложение, не отвлекаясь на формулирование мысли. Также он отражает средний показатель времени, которое затрачивается на набор двух соседних символов.
3. Скорость печати. Оценивается по числу набранных символов в единицу времени. Как темп, так и скорость могут быть низкими, средними и высокими, отражая, соответственно, степень выработанности печатного навыка.
4. Динамика ввода. Характеризует длительность нажатия клавиш, т. е. время, в течение которого пальцы задерживаются на отдельных символах. Эта характеристика влияет на темп и скорость печати, однако является наиболее устойчивой3 и почти не подвержена воздействию отвлекающих факторов.
5. Сила нажатия. Следует учитывать, что разные клавиатуры неодинаковы по степени чувствительности: если для одной достаточно провести пальцами по поверхности и символы отобразятся, то для других требуется значительное давление. Так, на современных клавиатурах глубина нажатия клавиши для срабатывания варьируется от 1,1 до 4 мм. Однако, вне зависимости от объективных характеристик устройства, люди прикладывают разные усилия при нажатии клавиш. Здесь же можно проследить поколенческую разницу: люди старшего возраста склонны нажимать на клавиши с большим давлением, в то время как представители молодежи печатают тише и мягче.
6. Системные опечатки. Возникают чаще у людей со средневыработанным компьютерным почерком и высокой скоростью печати из-за наложений, дублирования или неудобства возврата к недавно отпечатанной букве.
7. Модель внесения исправлений:
а) переход на символ, который требуется заменить, и исправление только его (может совершаться или курсором мыши, или посредством стрелок на клавиатуре);
б) удаление части элемента до нужного символа (производится или одновременным выделением соответствующей части с помощью мыши, или последовательным посимвольным удалением);
в) полное удаление введенного элемента (также может быть одновременным или последовательным).
При этом нельзя говорить, что человек всегда придерживается только одной модели; часто ее выбор зависит от «объема» ошибки (одна буква или несколько в разных местах слова), ее «удаленности» (вторая буква с конца или центральная в десятибук-венном слове) и времени, условно выделенного на анализ (человеку проще полностью переписать слово, чем прочитать его и найти опечатку). Однако представляется,
1 Перегудов А. В. Анализ клавиатурного почерка. Способы его применения // Интерактивная наука. 2018. № 6. С. 60.
2 Криминалистика. Ч. 1. С. 126.
3 Аверин А. И., Сидоров Д. П. Аутентификация пользователей по клавиатурному почерку // Огарев-Оп1те. 2015. № 20. С. 4.
что чем выше степень выработанности почерка, тем более стабильной будет модель исправления допущенных ошибок.
8. Использование определенных букв, символов и «горячих клавиш». Так, клавиша, соответствующая букве «ё», на распространенных раскладках клавиатуры расположена в удалении от остальных, что вызывает необходимость совершения дополнительных движений для набора этого символа. В свою очередь, использование «горячих клавиш», например СЫ+С и Ог1+Ч может указывать на уровень просвещенности в компьютерной сфере, предоставляя тем самым полезную информацию для идентификации исполнителя.
9. Характер наложений. Позволяет определить, как исполнитель привык держать руки при наборе и за какие зоны на клавиатуре «отвечает» каждый из пальцев. Существуют стандарты расположения рук на клавиатуре при десятипальцевой печати, хотя даже они предполагают вариативность, а в случае печати без предварительного обучения и (или) носителями низко- и средневыработанных почерков наложения, т. е. ситуации применения одного пальца для набора нескольких символов и обращения к одной клавише разными пальцами, будут еще более заметными.
Общие и частные признаки почерка позволяют решать различные задачи: первые необходимы при диагностическом исследовании текста, а вторые - при непосредственной идентификации его исполнителя1. В связи с этим небесполезно также разделить на две группы признаки компьютерного почерка. Общими в данном случае будут степень выработанности, темп набора, скорость печати, динамика ввода и сила нажатия; эти характеристики наиболее подвержены изменениям и зависят от действия разнообразных внешних и внутренних факторов, влияющих на состояние исполнителя или среды, в которой он работает. Частными признаками, потенциально указывающими на отклонение от стандартов компьютерной печати, будут системные опечатки, модель внесения исправлений, использование дополнительных символов и характер наложений (когда будут созданы системы его фиксации).
Компьютерный почерк не может характеризоваться абсолютной стабильностью -на него могут влиять различные факторы:
1. Психоэмоциональное состояние исполнителя. Так, представляется очевидным, что опечаленный, запуганный человек будет печатать медленнее своего обычного темпа, а взволнованный допустит больше ошибок, чем обычно.
2. Физиологическое состояние исполнителя. Например, состояние алкогольного опьянения провоцирует большое количество опечаток и нежелание их исправлять. Человеку в состоянии болезни явно сложнее сконцентрироваться, сформулировать мысль и быстро двигаться, напрягая мышцы, которых в процессе набора текста за-действуется около 1402.
3. Характер набираемого текста, его содержимое. Так, в личной переписке скорость набора сообщения будет выше, чем при профессиональном общении или написании научной статьи. В свою очередь, при печати на знакомом языке автор будет допускать меньше ошибок, чем при использовании иностранного языка, сложных терминов и незнакомых конструкций.
4. Степень вовлеченности. Темп набора и степень выработанности почерка будут ниже, если исполнитель параллельно чем-то занимается: пьет кофе, разговаривает по телефону и т. п. Аналогичных, но менее интенсивных изменений следует ожидать и при переключении вектора внимания, когда, допустим, человек одновременно набирает на клавиатуре текст и смотрит фильм.
5. Привычность клавиатуры. Так, на новом инструменте многие характеристики почерка, даже высоковыработанного, «сбиваются», ведь к новой клавиатуре приходится какое-то время привыкать. Чем выше степень выработанности, тем быстрее проходит процесс адаптации.
Отдельно можно обозначить группу ситуационных факторов: особенности локации (печать стоя, на улице в морозный день и т. п.), сознательное искажение манеры
1 Антропов А. В., Бахтеев Д. В., Кабанов А. В. Криминалистическая экспертиза: учеб. пособие. М.: Юрайт, 2019. С. 100.
2 Иванов А. И. Биометрическая идентификация личности по динамике подсознательных движений. Пенза: Изд-во Пенз. гос. ун-та, 2000. С. 57.
печати (например, в процессе экспериментальной попытки опробовать десятипаль-цевую печать без системного обучения) и др.
Сегодня все больше текстов создаются в печатном виде, различные операции, требующие подтверждения (аутентификации), также проводятся удаленно. Тем самым все чаще возникает необходимость в получении достоверных сведений о том, кто напечатал те или иные символы, ставшие электронным документом, новостью в бло-ге или послужившие допуском к определенной информации, возможностям. Так как компьютерный почерк (что было показано выше) обладает перечнем характеристик, на основании которых вполне возможно идентифицировать личность, допустимо говорить о назревшей потребности в создании отдельной подотрасли криминалистической техники, расположенной на пересечении судебного почерковедения и цифровой криминалистики, - криминалистического исследования компьютерного (клавиатурного) почерка.
В этом плане удивительно, что в работах лишь одного автора клавиатурный почерк рассматривается сквозь призму его юридического, а не технического значения1.
Каждой подотрасли криминалистической техники корреспондирует отдельное направление экспертизы. В данном случае следует обособить комплексную экспертизу компьютерного (клавиатурного) почерка, при проведении которой необходимо использовать почерковедческие и компьютерно-технические знания. Однако нужно, чтобы одновременно с криминалистическими заработали правовые механизмы: были легитимированы способы получения образцов компьютерного почерка, методики их исследования и, что самое важное, результаты соответствующих экспертиз признавались процессуально значимыми доказательственными материалами. Опишем в общих чертах основы экспертной методики исследования компьютерного почерка.
Объекты комплексной экспертизы компьютерного (клавиатурного) почерка можно разделить на две группы:
а) технические, включающие в себя компьютер; клавиатуру; устройство, фиксирующее информацию о почерке (аппаратный перехватчик клавиатуры, диктофон, видеокамера); носитель цифровой информации, содержащий операционную систему, в которой осуществлялась работа с текстом; данные программного перехватчика клавиатуры и пр.;
б) почерковедческие, к которым относятся технически полученные и переведенные в языковую форму записи, фиксирующие особенности почерка («переводы» кодов и функций, расшифровки аудиограмм, аналитические карты видеозаписей), видеоматериалы и спорный текст. Несмотря на то что в рассматриваемой ситуации итоговые материалы не отражают видимых признаков почерка исполнителя, совмещение текста с описанием того, как он был набран, облегчит проведение экспертизы.
Образцы для сравнительного исследования могут быть, как и в классическом почерковедении2, свободными, условно-свободными и экспериментальными.
Наиболее эффективным способом получения информации о компьютерном почерке является использование данных, собранных программно-аппаратными средствами захвата показателей времени и силы нажатия на клавиши - кейлоггерами (кеу1одде^)3.
Первый вид кейлоггеров представляет собой компьютерную программу, которая после установки и настройки становится невидимой для пользователя и антивирусного программного обеспечения. Такая программа фиксирует следующие данные: любой набираемый текст и каждое нажатие клавиш (как символьных, так и служеб-
1 Федоров И. З. К вопросу об установлении исполнителя электронного текста по клавиатурному почерку при раскрытии и расследовании преступлений // Вестник Барнаульского юридического института МВД России. 2019. № 2.
2 Антропов А. В., Бахтеев Д. В., Кабанов А. В. Указ. соч. С. 97.
3 Eltahir W., Salami M., Ismail A., Lai W. Design and evaluation of a pressure-based typing biometric authentication system // EURASIP Journal on Information Security. 2008. Vol. 14. DOI: 10.1155/2008/345047; Grabham N., White N. Use of a novel keypad biometric for enhanced user identity verification // IEEE International Instrumentation and Measurement Technology Conference Proceedings. Piscataway: Institute of Electrical and Electronics Engineers, 2008. DOI: 10.1109/IMTC.2008.4546995.
ных); посещаемые сайты; время включения / выключения отдельной программы и компьютера в целом; документы, отправленные на печать; а также способна делать снимки экрана в соответствии с заданными параметрами и сохранять скопированную в буфер обмена информацию. Все собранные сведения формируются с настроенной регулярностью в читаемый человеком отчет и направляются на почту, сохраняются в сетевом окружении (на связанных с пользовательским устройствах) или передаются через ftp (упрощенно - канал безопасного взаимодействия пользователя с сервером)1.
Второй вид кейлоггеров - аппаратные - представляет собой подключаемые к клавиатуре и компьютеру через USB или COM-разъемы или встраиваемые в клавиатуру устройства, невидимые для антивирусной защиты компьютера, считывающие все нажатия на клавиши и сохраняющие информацию в собственную память. Доступ к считанной информации возможен только в результате физического обращения к устройству (однако некоторые современные устройства предусматривают передачу данных по Wi-Fi)2.
Для получения информации о компьютерном почерке можно также исследовать аудиозаписи, которые создаются в процессе набора символов на клавиатуре. Полученные таким образом данные позволяют определить темп печати и силу нажатия3. Однако для этого необходимо дорогостоящее специализированное оборудование (акустические кейлоггеры)4.
Кроме того, возможно собрать необходимые материалы с помощью видеозаписей с камер, объективы которых направлены на руки исполнителя. В этом случае фиксирующее устройство должно характеризоваться высокими кадровой частотой и разрешением, а при анализе записи необходимо использовать таймер, позволяющий корректно определить скорость и темп печати (ведь пальцы могут двигаться очень быстро и иногда существенными для определения исполнителя оказываются различия в доли секунд). Приведенный способ сбора информации имеет много общего с так называемым онлайновым получением образцов подписи в целях их верификации посредством искусственных нейронных сетей: в этом случае фиксируется не только итоговое изображение, но и особенности воплощения письменно-двигательного навыка человека путем видеозаписи процесса выполнения подписи5.
Следует учитывать, что аудиозаписи представляют собой альтернативу специализированным кейлоггерам, в то время как видеофиксация выступает дополнительным средством запечатления особенностей клавиатурного почерка человека, поэтому желательно использовать ее всегда.
Для получения условно-свободных и экспериментальных образцов применяются все три способа, особенно если законодательно предусмотреть возможность установки кейлоггеров на компьютерные устройства подозреваемых в рамках оперативно-розыскных мероприятий. Однако свободные образцы почерка могут быть получены только в том случае, если на рабочем оборудовании лица, независимо от процесса расследования, будет установлен перехватчик клавиатуры. Для этого необходима инициатива самого человека или его работодателя, поскольку введение формально определенного правила, обязывающего внедрять считывающую программу во все операционные системы, вызовет перегрузку серверов, где собранные данные будут храниться, и увеличит риск утечки персональных данных пользователей. Впрочем, можно предположить, что в операционные системы уже внедрены программы-перехватчики, которые направляют корпорациям сведения, позволяю-
1 Обзор клавиатурных шпионов: лучшие кейлоггеры // Хакер. 2006. 4 дек. URL: https://xakep.ru/2006/12/04/ 35563/ (дата обращения: 16.02.2022).
2 Сосновский Д. Что такое кейлоггер? // Spy-soft.net. URL: https://spy-soft.net/chto-takoe-kejlogger-vidy-klaviaturnyx-shpionov/ (дата обращения: 16.02.2022).
3 Догваль В. А. Захват параметров клавиатурного почерка и его особенности // Информационные системы и технологии в моделировании и управлении: материалы Всерос. науч.-практ. конф. Ялта, 5-7 июля 2017 г. / отв. ред. Н. Н. Олейников. Симферополь: Ариал, 2017. С. 231.
4 Сосновский Д. Указ. соч.
5 Bakhteev D. V., Sudarikov R. NSP Dataset and Offline Signature Verification // Quality of Information and Communications Technology / ed. by M. Shepperd, F. Brito e Abreu, A. Rodrigues da Silva, R. Pérez-Castillo. Cham: Springer, 2020. P. 41-49.
щие, например, регулярно разрабатывать новые, более удобные для пользователей клавиатуры1. Если это так, то в ходе расследования преступлений можно запросить предоставление свободных образцов компьютерного почерка у соответствующих разработчиков программного обеспечения.
Препятствием к получению образцов компьютерного почерка является распространенное в настоящее время негативное отношение к кейлоггерам2. Считается, что они применяются исключительно для похищения персональных данных злоумышленниками, хотя на самом деле эти программы могут быть весьма полезны для пользователя компьютера. Так, их установление и настройка позволяют внедрить систему двойной аутентификации, которая примет пароль только в том случае, если он будет введен исполнителем, чей компьютерный почерк зафиксирован программой3. Также программные средства фиксации клавиатурного почерка могут обеспечивать производственную безопасность: анализ психофизиологического состояния работника по его компьютерному почерку позволяет выявить усталость или специфические состояния (например, алкогольного опьянения), грозящие нежелательными последствиями, в частности авариями4. Хотелось бы выразить надежду, что общественность будет воспринимать кейлоггеры как средство обеспечения дополнительной безопасности и начнет их широко внедрять, что значительно упростит работу криминалистов.
После получения образцов компьютерного (клавиатурного) почерка можно приступать к проведению его экспертизы, которая состоит из нескольких этапов:
1. Проверка невредимости упаковки изъятых объектов и целостности последних.
2. Анализ информации, содержащейся в памяти компьютера и имеющей отношение к делу.
3. Технически безопасное извлечение требуемой информации и перевод ее в текстовый формат. На этом этапе эксперты в области компьютерных технологий работают с техническими объектами: из хранилища изымаются отчеты кейлоггеров, аудиозаписи, цифровые показатели (динамика, темп и скорость).
4. Раздельное исследование образцов компьютерного почерка, нашедших отражение при создании спорного текста, и поступивших образцов. Эксперт-почерковед оценивает достаточность, сопоставимость и пригодность полученных образцов для проведения экспертизы. Далее составляются таблицы с указанием общих и частных признаков, сведения для которых берутся из полученных компьютерно-техническими экспертами расшифровок, а также самостоятельного анализа экспертом-почерковедом видеозаписей, на которых отразились особенности расположения рук, движения пальцев и т. п.
5. Сравнительное исследование спорного компьютерно-почеркового материала и имеющихся образцов. Происходит сопоставление полученных на прошлом этапе результатов исследования, выявляются общие и различающиеся черты, на основании чего составляются сводные сравнительные таблицы и формулируются выводы.
6. Оформление выводов в виде экспертного заключения с приложением числовых показателей, снятых с устройств отслеживания компьютерного почерка.
Такое исследование позволит установить: исполнителя напечатанного текста; возраст исполнителя текста5; обстоятельства и условия выполнения спорного текста; психофизиологическое состояние исполнителя в момент набора текста. Как и при классической почерковедческой экспертизе6, в рамках первой цели решаются иден-
1 Догваль В. А. Указ. соч. С. 231.
2 Клавиатурные шпионы или как клавиатура может предать вас // Новости мира IT. 2019. 11 окт. URL: https://zen.yandex.ru/media/it_news/klaviaturnye-shpiony-ili-kak-klaviatura-mojet-predat-vas-5da04457ba281e-00b3fa7a4d (дата обращения: 16.02.2022).
3 Как разработать систему, которая распознает человека по клавиатурному почерку // IDFinance. 2018. 27 апр. URL: https://habr.com/ru/company/idfinance/blog/354492/ (дата обращения: 16.02.2022).
4 Васильев В. И., Сулавко А. Е., Борисов Р. В., Жумажанова С. С. Распознавание психофизиологических состояний пользователей на основе скрытого мониторинга действий в компьютерных системах // Искусственный интеллект и принятие решений. 2017. № 3. C. 21-23.
5 Педофилов можно узнать по «компьютерному почерку» // Аргументы и факты. 2010. 30 окт. URL: https:// aif.ru/society/science/238780 (дата обращения: 16.02.2022).
6 Антропов А. В., Бахтеев Д. В., Кабанов А. В. Указ. соч. С. 98.
тификационные задачи, остальные же направлены на решение диагностических задач.
Наконец, приведем ставящиеся перед экспертами примерные вопросы, которые в данном случае могут быть разделены по профилю проводимых исследований:
I. Вопросы, предлагаемые на разрешение компьютерного эксперта:
1. Имеется ли в компьютере, представленном на исследование, программный кей-логгер?
2. Имеется ли в клавиатуре, представленной на исследование, встроенный аппаратный кейлоггер?
3. Имеется ли среди внешних подключенных носителей аппаратный кейлоггер?
4. Как давно был установлен кейлоггер на пользовательском оборудовании? Знал ли пользователь об этом?
5. Имеются ли в компьютере, представленном на исследование, отчеты о работе кейлоггеров?
6. Имеются ли следы удаления отчетов о работе кейлоггеров? Если эти отчеты удалялись, то подлежат ли они восстановлению?
II. Вопросы, предлагаемые на разрешение эксперта-почерковеда:
1. Соответствует ли компьютерный почерк, которым был выполнен спорный текст, образцам компьютерного почерка, представленным на исследование?
2. Одним или разными лицами выполнен представленный на исследование текст?
3. К какой возрастной группе относится исполнитель данного текста?
4. Каким уровнем знаний в области компьютерной техники обладает исполнитель?
5. Есть ли у компьютерного почерка, которым выполнен спорный текст, черты, указывающие на его сознательное изменение? Если есть, то какие?
6. В привычных или непривычных условиях выполнен спорный текст?
7. На привычной ли для исполнителя клавиатуре был набран спорный текст?
8. В нормальном или ненормальном психофизиологическом состоянии находился исполнитель текста в момент его набора? Если в ненормальном, то чем такое состояние могло быть вызвано: болезнью, усталостью, состоянием алкогольного опьянения, сильным стрессом и т. д.?
Полагаем, что изложенные нами основы экспертной методики пробудят интерес криминалистов к теме компьютерного почерка, ведь она невероятно актуальна: люди все меньше пишут от руки, но значение документов, у которых достоверно известен исполнитель, в процессе раскрытия и расследования преступлений не уменьшается. На наш взгляд, необходимо уже сейчас серьезно подойти к изучению феномена компьютерного почерка с позиций его криминалистической значимости, а не дожидаться момента, когда из нашей жизни исчезнут рукописи.
Список литературы
Аверин А. И., Сидоров Д. П. Аутентификация пользователей по клавиатурному почерку // Огарёв-Online. 2015. № 20. С. 1-5.
Антропов А. В., Бахтеев Д. В., Кабанов А. В. Криминалистическая экспертиза: учеб. пособие. М.: Юрайт, 2019. 179 с.
Бондаренко Р. В., Захарова Л. Ю. Влияние методики обучения письму на формирование двигательного навыка // Фотография. Изображение. Документ. 2016. Вып. 7. С. 36-47.
Васильев В. И., Сулавко А. Е., Борисов Р. В., Жумажанова С. С. Распознавание психофизиологических состояний пользователей на основе скрытого мониторинга действий в компьютерных системах // Искусственный интеллект и принятие решений. 2017. № 3. С. 21-37.
ВинбергЛ. А., Шванкова М. В. Почерковедческая экспертиза: учеб. / под ред. Р. С. Белкина. Волгоград: б. и., 1977. 207 с.
Волошина О. История письменности. Коротко об истории письма // Русский язык. 2009. № 10. URL: https://rus.1sept.ru/view_article.php?ID=200901001 (дата обращения: 16.02.2022).
Догваль В. А. Захват параметров клавиатурного почерка и его особенности // Информационные системы и технологии в моделировании и управлении: материалы Всерос. науч.-практ. конф. Ялта, 5-7 июля 2017 г. / отв. ред. Н. Н. Олейников. Симферополь: Ариал, 2017. С. 230-236.
Иванов А. И. Биометрическая идентификация личности по динамике подсознательных движений. Пенза: Изд-во Пенз. гос. ун-та, 2000. 188 с.
Кох Е. История инструментов для письма // Наука и Техника: электронная библиотека. 2000. 5 янв. URL: http://n-t.ru/tp/it/ip.htm (дата обращения: 16.02.2022).
Криминалистика: учеб.: в 3 ч. / отв. ред. Л. Я. Драпкин. 2-е изд., испр. и доп. М.: Юрайт, 2018. Ч. 1. 246 с.
Лазаридис Н. Образование и ученичество в Древнем Египте / пер. В. П Безрогова, В. К. Пи-чугиной // Ценности и смыслы. 2020. № 1. С. 8-25.
Перегудов А. В. Анализ клавиатурного почерка. Способы его применения // Интерактивная наука. 2018. № 6. С. 59-60.
Федоров И. З. К вопросу об установлении исполнителя электронного текста по клавиатурному почерку при раскрытии и расследовании преступлений // Вестник Барнаульского юридического института МВД России. 2019. № 2. С. 113-116.
Цветкова М. С., Богомолова О. Б. Культура клавиатурного письма: метод. пособие. М.: Бином. Лаборатория знаний, 2009. 170 с.
Шустова Ю. Э. Азбуки-прописи конца XVII - начала XVIII в. из частных собраний // Вестник Православного Свято-Тихоновского гуманитарного университета. Сер. 4: Педагогика. Психология (ПСТПУ). 2019. Вып. 53. С. 72-89.
Bakhteev D. V., Sudarikov R. NSP Dataset and Offline Signature Verification // Quality of Information and Communications Technology / ed. by M. Shepperd, F. Brito e Abreu, A. Rodrigues da Silva, R. Pérez-Castillo Cham: Springer, 2020. P. 41-49.
Eltahir W, Salami M., Ismail A. Lai W. Design and Evaluation of a Pressure-Based Typing Biom-etric Authentication System // EURASIP Journal on Information Security. 2008. Vol. 14. P. 1-14. DOI: 10.1155/2008/345047.
Grabham N., White N. Use of a novel keypad biometric for enhanced user identity verification // IEEE International Instrumentation and Measurement Technology Conference Proceedings. Piscat-away: Institute of Electrical and Electronics Engineers, 2008. P. 12-16. DOI: 10.1109/IMTC.2008.4546995.
References
Antropov A. V., Bakhteev D. V., Kabanov A. V. (2019) Kriminalisticheskaya ekspertiza [Forensic examination]. Moscow, Yurait, 179 p.
Averin A. I., Sidorov D. P. (2015) Autentifikatsiya pol'zovatelei po klaviaturnomu pocherku [Authentication of users by keyboard handwriting]. In Ogarev-Online, no. 20, pp. 1-5.
Bakhteev D. V., Sudarikov R. (2020) NSP Dataset and Offline Signature Verification. In Shepperd M., Brito e Abreu F., Rodrigues da Silva A., Pérez-Castillo R. (Eds.) Quality of Information and Communications Technology. Cham, Springer, pp. 41-49.
Bondarenko R. V., Zakharova L. Yu. (2016) Vliyanie metodiki obucheniya pis'mu na formirovanie dvigatel'nogo navyka [The influence of the methodology of teaching writing on the formation of motor skills]. In Fotografiya. Izobrazhenie. Dokument, iss. 7, pp. 36-47.
Dogval' V. A. (2017) Zakhvat parametrov klaviaturnogo pocherka i ego osobennosti [Capturing the parameters of keyboard handwriting and its features]. In Oleinikov N. N. (Ed.) Informatsionnye sistemy i tekhnologii v modelirovanii i upravlenii: conference papers. Simferopol, Arial, pp. 230-236.
Drapkin L. Ya. (2018) Kriminalistika [Forensics]: in 3 parts. 2nd ed. Moscow, Yurait, part 1, 246 p.
Eltahir W., Salami M., Ismail A. Lai W. (2008) Design and Evaluation of a Pressure-Based Typing Biometric Authentication System. In EURASIP Journal on Information Security, vol. 14, DOI: 10.1155/2008/345047.
Fedorov I. Z. (2019) K voprosu ob ustanovlenii ispolnitelya elektronnogo teksta po klaviaturnomu pocherku pri raskrytii i rassledovanii prestuplenii [On the issue of establishing the performer of electronic text by keyboard handwriting in the disclosure and investigation of crimes]. In Vestnik Barnaul'skogo yuridicheskogo instituta MVD Rossii, no. 2, pp. 113-116.
Grabham N., White N. (2008) Use of a novel keypad biometric for enhanced user identity verification. In IEEE International Instrumentation and Measurement Technology Conference Proceedings. Piscataway, Institute of Electrical and Electronics Engineers, pp. 12-16, DOI: 10.1109/ IMTC.2008.4546995.
Ivanov A. I. (2000) Biometricheskaya identifikatsiya lichnosti po dinamike podsoznatel'nykh dvi-zhenii [Biometric identification of personality by the dynamics of subconscious movements]. Penza, Izdatel'stvo Penzenskogo gosudarstvennogo universiteta, 188 p.
Kokh E. (2000) Istoriya instrumentov dlya pis'ma [History of writing tools]. In Nauka i Tekhnika: elektronnaya biblioteka, 5 Jan., available at: http://n-t.ru/tp/it/ip.htm (accessed: 16.02.2022).
Lazaridis N. (2020). Obrazovanie i uchenichestvo v Drevnem Egipte [Education and apprenticeship in Ancient Egypt], transl. by V. G. Bezrogov, V. K. Pichugina. In Tsennosti i smysly, no. 1, pp. 8-25.
Peregudov A. V. (2018) Analiz klaviaturnogo pocherka. Sposoby ego primeneniya [Analysis of keyboard handwriting. Methods of its application]. In Interaktivnaya nauka, no. 6, pp. 59-60.
Shustova Yu. E. (2019) Azbuki-propisi kontsa XVII - nachala XVIII v. iz chastnykh sobranii [Abc-books for writing skills of the late 17th - early 18th centuries from private collections]. In Vestnik Pra-voslavnogo Svyato-Tikhonovskogo gumanitarnogo universiteta. Ser. 4: Pedagogika. Psikhologiya (PSTGU), iss. 53, pp. 72-89.
Tsvetkova M. S., Bogomolova O. B. (2009) Kul'tura klaviaturnogo pis'ma [Culture of keyboard writing]. Moscow, Binom. Laboratoriya znanii, 170 p.
Vasil'ev V. I., Sulavko A. E., Borisov R. V., Zhumazhanova S. S. (2017) Raspoznavanie psikhofizio-logicheskikh sostoyanii pol'zovatelei na osnove skrytogo monitoringa deistvii v komp'yuternykh sis-temakh [Recognition of psychophysiological states of users based on covert monitoring of actions in computer systems]. In Iskusstvennyi intellekt i prinyatie reshenii, no. 3, pp. 21-37.
Vinberg L. A., Shvankova M. V. (1977) Pocherkovedcheskaya ekspertiza [Handwriting expertise], ed. by R. S. Belkina. Volgograd, s. n., 207 p.
Voloshina O. (2009) Istoriya pis'mennosti. Korotko ob istorii pis'ma [The history of writing. Briefly about the history of writing]. In Russkiiyazyk, no. 10, available at: https://rus.1sept.ru/view_article. php?ID=200901001 (accessed: 16.02.2022).
