CC BY
247
УДК 343.146
Кувычков Сергей Иванович Kuvychkov Sergey Ivanovich
старший преподаватель кафедры математики, информатики и информационных технологий Нижегородская академия МВД России (603950, Нижний Новгород, Анкудиновское шоссе, 3)
senior lecturer department of mathematics, informatics and information technologies Nizhny Novgorod academy of the Ministry of internal affairs of Russia (3 Ankudinovskoye shosse, Nizhny Novgorod, 603950)
E-mail: redsxrjd@mail.ru
О современных проблемах проведения судебно-компьютерных экспертиз в ходе предварительного расследования
About modern problems of the forensic computer examinations during the preliminary investigation
В статье анализируются актуальные вопросы проведения судебно-компьютерных экспертиз по уголовным делам. Автор акцентирует внимание на основных ошибках следователей, которые готовят материал для проведения такого вида экспертиз. Им даются рекомендации по правильному проведению следственных действий, направленных на фиксацию следов преступлений в виде электронной информации. Автор освещает некоторые моменты в методике проведения судебно-компьютерных экспертиз.
Ключевые слова: судебно-компьютерная экспертиза, доказательства, электронная информация, уголовный процесс.
The article analyzes the current issues of the forensic computer examinations in criminal cases. The author focuses on the major mistakes of investigators who are preparing material for this type of expertise. They are recommendations for the proper conduct of investigative actions aimed at fixing the traces of crimes in the form of electronic information. Author highlights some moments in the methodology of forensic computer examinations.
Keywords: forensic computer examination, evidence, electronic information, the criminal procedure.
Криминально значимые следы любой преступной деятельности можно найти в компьютерной информационной среде. Количество уголовных преступлений, связанных с применением компьютерно-технических средств неуклонно растет, тем более что именно этот тип преступлений зачастую наносит огромный экономический ущерб и имеет максимальную ла-тентность.
В связи с этим растет роль и значение компьютерно-технических и других видов экспертиз электронной информации. Их количество растет в геометрической прогрессии. Проведем анализ — сравнение статистики одной из экспертных организаций по уголовным делам. Проведено судебных экспертиз информационных компьютерных средств в 2013 году — 40, в 2014 году — 48, а в 2015 году — 165. Из них по уголовным делам 14, 22 и 40 соответственно (см. диаграмму 1).
Диаграмма 1. Количество судебных компьютерно-технических экспертиз (КТЭ)
Большой прирост за последние 2 года составили экспертизы, проведенные по постановлениям следователей МВД (83 экспертизы за 2015 год, против 26 — за 2014 год), по уголовным же делам наибольшую динамику показали экспертизы, проведенные по постановлениям следователей Следственного комитета РФ: 12 — в
2014 году и в 2015 году уже 34. Изменилась данная статистика и относительно проведения экспертных исследований по заявлениям граждан или юридических лиц. Если в 2014 году их насчитывалось 5, то в 2015 — 29, но по уголовным делам ничего не изменилось (0 за оба периода) (см. диаграмму 2).
Диаграмма 2. Динамика судебных экспертиз по отдельным категориям субъектов
Таким образом, заметен значительный прирост судебных экспертиз, проведенных в 2015 году, по сравнению с 2014 годом, на отдельно взятом примере (диаграмма 3).
Диаграмма 3. Прирост судебных экспертиз в 2015 году
При этом указанные виды судебных экспертиз являются наиболее трудоемкими и требующими наибольших временных затрат и высококвалифицированных специалистов. В связи с данной динамикой для многих ЭКП ОВД типичными являются следующие недостатки:
— отсутствие высококвалифицированных экспертов конкретных специальностей в ряде экспертных подразделений;
— недостаточное количество штатной численности экспертов определенных специальностей;
— высокая занятость экспертов, которая отражается на сроках проведения судебных экспертиз;
— неоправданное, даже при отсутствии необходимости в том, назначение судебной экс-
пертизы, повторных экспертиз для получения определенного вывода и др.
Значительный рост судебных экспертиз требует увеличения штата государственных экспертов, которых было недостаточно уже в прошлом году, для проведения всех видов экспертиз, назначаемых при расследовании уголовных дел, даже при условии, что государственные эксперты есть во многих ведомствах (МВД, ФСБ, Минюст, МО, МЧС, Минздравсоцразвития, ФСКН, ФТС). Тем более что экспертные учреждения производят не все виды экспертиз. Так, например, до сих пор не освоена многими экспертными подразделениями технология проведения экспертиз в области игорного бизнеса и экспертиз, связанных с менее распространенными операционными системами, такими как Linux, Unix, Mac OS и др. Под предлогом юридической мотивировки поставленных перед экспертом вопросов, создается обстановка, объясняющая необходимость обращения за проведением судебных экспертиз в негосударственные экспертные учреждения и к частным экспертам на договорной основе.
Проблемы возникают и на стадии собственно проведения экспертизы, связанные как с обнаружением неграмотных действий оперативных и следственных подразделений, так и с постановкой вопросов перед экспертом, а также с путаницей в понятиях «экспертиза» и «экспертное исследование». При расследовании преступлений, связанных с использованием компьютерной техники, неквалифицированные действия позволяют усомниться в отсутствии модификации информации на магнитном диске, а также могут привести к ее удалению. Регулярно замечалось, что изъятый компьютер включался сотрудниками оперативных и следственных подразделений, пытавшимися обнаружить электронную информацию, относящуюся к возбужденному уголовному делу, а иногда производившими набор и распечатку служебных документов в редакторе, осуществлявшими поиск информации в Интернете и др. Естественно, из-за «постоянной нехватки времени» не производилось протоколирование данных действий, влиявших на изменение информации вещественного доказательства. Хотя давно известно, что даже открытие и просмотр имеющихся файлов данных, а тем более создание новых текстов и установка программного обеспечения модифицируют служебную и другую информацию на накопителе и не позволяют в дальнейшем провести повторную экспертизу из-за невоз-
можности восстановления существовавших удаленных файлов.
Рассмотрим наиболее часто встречающиеся проблемы, выявленные на этапе компьютерно-технических экспертиз. Вышеуказанным нарушениям способствует неграмотное изъятие и опечатывание компьютерно-технических средств сотрудниками оперативно-розыскных и экспертных подразделений ОВД. При изъятии элементов компьютерной техники зачастую опечатывание не предотвращает возможность подключения электронного вещественного доказательства к электрической сети или к другому устройству, что позволяет усомниться в неизменности и отсутствии модификации информации вещественного доказательства, произведенной как умышленно, так и без умысла. Поскольку даже простое включение системного блока с загрузкой операционной системы приводит к созданию новых файлов служебного назначения. При загрузке операционных систем создается специальный файл подкачки, расширяющий виртуальную память, создаются резервные копии файлов реестра и вносятся другие изменения на накопитель электронной информации. Запущенные программы создают специальные временные файлы для резервного копирования и фиксации модификаций редактируемого электронного документа. Открытие электронных документов, запуск программных продуктов и навигация по сайтам интернета вызывает модификацию служебных файлов операционной системы, оставляет следы в истории работы, папках, содержащих временные и ЮО-файлы, а также специальных папках, содержащих следы работы в интернете. При создании или копировании на носитель внешней памяти новых файлов изменяется информация в кластерах, отмеченных операционной системой как свободные или неиспользуемые, которые могут содержать удаленные файлы. Данные процессы записывают новую информацию поверх существовавших ранее удаленных электронных документов, которые возможно было восстановить и благодаря им воссоздать криминалистически важные следы, способствующие расследованию рассматриваемых преступлений [1, с. 22—26].
И даже если таковой модификации не обнаружено, то первый вопрос экспертизы о возможности подключения данной техники имеет положительный ответ, что ставит под сомнение легитимность данного вещественного доказательства.
Приведем несколько свежих примеров. На рисунках 1 и 2 приведен вариант неправильного опечатывания накопителя на жестком магнитном диске (НЖМД), у которого вместо опечатывания места возможного подключения электрического и информационного кабелей для недопущения модификации информации наклеили при помощи прозрачной липкой ленты фрагмент листа бумаги белого цвета с пояснительной надписью «К спр. № 3864...», оттисками круглой печати «Для пакетов № 130 Экспертно-криминалистический центр ГУ МВД России по Нижегородской области МВД РФ» и даже с подписью эксперта (см. рис. 1). На самом же деле необходимо опечатывать разъемы возможного подключения информационных кабелей, что сделано не было (см. рис. 2).
Рис. 1. Фрагмент постановления на проведение КТЭ
Рис. 2. Фотография НЖМД, представленного на КТЭ
Другой пример неправильного опечатывания системных блоков приведен на следующих фотографиях. Так, в постановлении оперуполномоченного ОЭБ и ПК МО МВД России о проведении КТЭ указано, что 10 системных блоков упакованы и опечатаны «надлежащим образом» (см. рис. 3)
о/чткк nif Mo мни na
Рис. 3. Фрагмент постановления на проведение КТЭ
На деле в большинстве случаев опечатана решетка кулера охлаждения корпуса системного блока (см. рис. 4), что абсолютно не защищает представленные на экспертизу системные блоки от подключения к источнику электричества и другим USB накопителям внешней памяти и позволяет при грамотных вопросах стороны защиты усомниться в отсутствии несанкционированных подключений к исследуемым вещественным доказательствам.
Правильность изъятия объектов КТЭ имеет большое значение для полноты и достоверности последующего их исследования [2, с. 139]. Поэтому источники внешней памяти как вещественные доказательства необходимо представлять суду неизмененными, для обеспечения возможности назначения повторных экспертиз. Следовательно, для поиска электронной информации нужно применять методы и средства, не модифицирующие первоначально изъятую информацию на источнике внешней памяти.
Необходимо учитывать требования к содержанию осмотра, обыска, изъятия и других следственных действий по уголовному делу на досудебной стадии и оперативно-разыск-
ных мероприятий. Лучше всего при изъятии электронных доказательств с различных источников внешней памяти использовать специалиста. Такие действия необходимо выполнять с определенной систематизацией, начиная с осмотра места происшествия, электронной техники, источников внешней памяти и заканчивая изъятием данных с электронных накопителей информации, имеющих отношение к уголовному преступлению. Данная последовательность действий имеет определенный алгоритм. Так, например, при изъятии электронной техники нужно обнаружить все возможные источники внешней памяти как внутри электронного устройства, так и удаленно подключенные посредством локальных вычислительных сетей, используя возможности беспроводных технологий передачи информации. Известны случаи, когда при изъятии системного блока сотрудники оперативных подразделений не учитывали, что жесткий диск может быть подключен удаленно с передачей данныхчерез радиоканал, и направляли на экспертизу данный блок без накопителя на жестком магнитном диске, который был подключен к компьютеру посредством радиосвязи и находился в припаркованной вблизи здания автомашине.
В связи со сложностью интернет-технологий у правоохранительных органов возникают проблемы с поиском и определением местонахождения преступников в глобальной сети. Для раскрытия преступных деяний, совершенных в данной сфере, первоначальным шагом проведения оперативно-разыскных меропри-
Рис. 4. Образцы ненадлежащего опечатывания системных блоков
ятий является определение адреса или местоположения, использованного преступником для совершения следующих противоправных действий:
— распространение в сети порнографии;
— торговля запрещенными товарами, такими как спецтехника или взрывчатые вещества, пропагандирующими насилие, расовую или религиозную рознь и др.;
— осуществление несанкционированного доступа к защищенному ресурсу с целью модификации, кражи, незаконного копирования, мошенничества и др.;
— создание и использование дублирующего сайта с целью кражи идентификационных данных пластиковых карт оплаты или совершения другого вида мошенничества в глобальной сети.
Для определения местоположения преступника или используемого им Интернет-ресурса необходимо идентифицировать IP-адрес и посредством информации, полученной через провайдера, личные данные данного злоумышленника. Необходимо уметь использовать следующие способы и методы определения злоумышленника и его IP-адреса:
— Стандартная команда ping из командной строки в следующем формате: «ping искомый сайт». Так, например, для определения IP-адреса сайта Yandex введем «ping yandex.ru».
— Специализированные сервисы идентификации IP-адреса ресурса Интернета, например: http://ru.siteipaddr.com/.
— Применив специальное программное обеспечение (онлайн-сниффер), собирающее информацию о пользователях ресурса сети, путем размещения привлекательных ссылок на широко используемых сайтах социальных сетей, блогах или форумах. При активации данной ссылки появляется сообщение о большом выигрыше в лотерее или бесплатной услуге, в действительности же происходит сохранение данных о пользователях в служебном лог-файле онлайн-сниффера. Примером такой программы по протоколу http является: http:// www1 .hut.ru/testi.shtml?Your_ID (в качестве Your_ID выбирается комбинация символов, состоящая из латинских букв и цифр и идентифицирующая вас в качестве пользователя данно-го сниффера для обнаружения ваших записей внутри лог-файла.
— Для анализа всех подключений к атакованному компьютеру необходимо вывести список подключений с помощью команды netstat — aon из командной строки. В появившемся окне MS DOS в результате выполнения
данной команды (см. рисунок ниже) нужно просмотреть столбец «Внешний адрес», отображающий IP-адреса, с которыми происходило соединениеданного компьютера.
В случае использования анонимного прокси-сервера существует как минимум два способа определения реального IP-адреса [3, с. 164—168]:
1) принуждение злоумышленника выполнить активный сценарий JavaScript или VBScript, ActiveX, plug-ins для программ-браузеров, программу Java на открываемом сайте, которые могут передавать реальный IP-адрес напрямую, минуя прокси-сервер;
2) получение журналов в виде лог-файлов с прокси-сервера путем официальных запросов или с помощью методов интернет-разведки.
Кроме того, при обнаружении преступления, совершенного через сеть «Интернет», необходимо учитывать временные характеристики преступного деяния как по адресу места совершения данного деяния, так и по времени (с учетом поправки на часовой пояс) в населенном пункте, где обнаружен IP-адрес компьютера подозреваемого. В следствии того, что динамический IP — адрес компьютеру назначается автоматически при подключении к провайдеру, то из-за разницы в часовых поясах под данным IP-адресом c интервалом в несколько часов могли работать разные пользователи. Зафиксированы случаи, в которых сотрудники правоохранительных органов по информации, полученной от провайдера интернет-услуг, не учитывая временной фактор, изымали электронную технику и обвиняли людей, не причастных к данному преступному деянию.
Таким образом, к следственным действиям, направленным на поиск электронной информации необходимо привлекать специалиста или эксперта и грамотно протоколировать проводимые операции с применением средств видео- и фотофиксации. Иначе сторона защиты будет добиваться опровержения предъявленных электронных доказательств, пользуясь недостаточной грамотностью как присяжныхзаседа-телей, так и судей в вопросах информационных технологий, зарождая на этой спекулятивной почве сомнения в возможности модификации документов, представленных в электронном виде, и убеждая в сфабрикованности дела правоохранительными органами. Природа данного сомнения кроется в основополагающей причине недоверия отдельных категорий общества, срезом которого являются присяжные заседатели, к государственной системе в целом и спецслужбам в частности. Именно поэтому недопустимо
некорректное обращение с электронной информацией стороны обвинения в период досудебного производства.
Примечания
1. Костин П.В. Исследование машинных носителей информации при расследовании преступлений в сфере экономики: учебное пособие. Н. Новгород, 2009.
2. Маринин С.А. Правовые и организационно-тактические основы выявления, документирования и раскрытия преступлений, совершаемых в сфере незаконного игорного бизнеса с использованием компьютерной техники и Интернет: монография. Н. Новгород, 2015.
3. Лабутин Н.Г. Некоторые способы поиска и определения местонахождения злоумышленников в сети Интернет // Сборник материалов XI Всероссий-
ской научно-практической конференции «Математические методы и информационно-технические средства». Краснодар, 2014.
Notes
1. Kostin P. V. The study of computer media in the investigation of crimes in the sphere of economy: textbook. Nizhny Novgorod, 2009.
2. Marinin S.A. Legal, organizational and tactical framework for identifying, documenting and disclosing of crimes in sphere of illegal gambling business using computer technology and the Internet: a monograph. Nizhny Novgorod, 2015.
3. Labutin N.G. Some ways to search and locate the intruders on the Internet. // Proceedings of the XI All-Russian scientific-practical conference «Mathematical methods and information technology tools». Krasnodar, 2014.
