Осмотр электронных средств связи Текст научной статьи по специальности «Право»

JURISPRUDENCE

Научная статья УДК 34.343

https://doi.org/10.24412/2073-0454-2022-3-299-303 NIION: 2003-0059-3/22-326 MOSURED: 77/27-003-2022-03-525

Осмотр электронных средств связи

Любовь Евгеньевна Чистова

Московский университет МВД России имени В.Я. Кикотя, Москва, Россия, tchistova-lubov@yandex.ru

Аннотация. Рассмотрены тактические приемы осмотра компьютеров/ноутбуков и телефонов/смартфонов. Даны рекомендации по их изъятию и упаковке с целью предупреждения потери информации, содержащейся в этих устройствах.

Ключевые слова: компьютер, ноутбук, телефон, смартфон, следственный осмотр Для цитирования: Чистова Л. Е. Осмотр электронных средств связи // Вестник Московского университета МВД России. 2022. № 3. С. 299-303. https://doi.org/10.24412/2073-0454-2022-3-299-303.

Original article

Inspection of electronic communications

Lubov E. Chistova

Moscow University of the Ministry of Internal affairs of Russia named after V.Ya. Kikot', Moscow, Russia,

tchistova-lubov@yandex.ru

Abstract. Tactical methods of inspection of computers/laptops and phones/smartphones are considered. Recommendations are given for their removal and packaging in order to prevent the loss of information contained in these devices.

Keywords: computer, laptop, telephone, smartphone, investigative examination

For citation: Chistova L. E. Inspection of electronic communications. Bulletin of the Moscow University of the Ministry of Internal Affairs of Russia. 2022;(3):299-303. (In Russ.). https://doi.org/10.24412/2073-0454-2022-3-299-303.

Наиболее распространенным следственным действием по делам, связанным с незаконным оборотом наркотических средств, совершаемым с помощью Интернета и иных электронных средств связи выступает следственный осмотр.

Учитывая особенности таких преступлений, а именно, что в процессе их совершения остаются так называемые, виртуальные следы, содержащиеся на экранах мониторов компьютеров, ноутбуков, индикаторных панелях, флеш-картах, съемных винчестерах, компакт-дисках и т. д., наиболее часто проводится осмотр этих предметов.

Однако, необходимо обратить внимание, что следственный осмотр этих предметов проводить без специалистов в области компьютерных знаний нельзя, поскольку непрофессиональное обращение с

© Чистова Л. Е., 2022

этими объектами может повлечь уничтожение доказательственной информации по делу [2, с. 45-62].

Кроме того, специалисты для выявления информационных следов используют современную технику, разработанную для выявления специфической информации, находящейся в этих устройствах, к которой относятся «Мобильный криминалист», «UFED», «XRY» и др., позволяющие входить в операционную систему в обход паролей и логинов.

В частности, обнаруженные информационные следы могут указывать не только на посещение про-наркотических сайтов, но и на общение с конкретными лицами, а также на предмет такого общения, что может подтверждать переписка пользователя со своими соучастниками или с иными лицами, имеющими отношение к незаконному обороту таких

ЮРИДИЧЕСКИЕ НАУКИ

средств; сведения об управлении счетами электронных платежных систем; геолокации, схемы или фотографии мест закладок, свидетельствующие о посещении этих мест конкретным лицом и т. д.

Содержаться такие следы могут в списке контактов, имеющихся на том или ином устройстве в телефонной книге или журнале звонков; смс-сообще-ниях; данных браузера (например, истории посещения социальных сетей «ВКонтакте», «Facebook», «Одноклассники» и т. д.; приложениях (WhatsApp, Viber, Brosix, Telegram и др.), памяти телефона, картах памяти.

Ценную информацию можно получить при исследовании жесткого диска персонального компьютера, его оперативной памяти и сетевой карты, по уникальному номеру которой провайдер идентифицирует своих клиентов. Установление IP- и MAC-адресов позволит правоохранительным органам доказать причастность конкретного лица к незаконному обороту рассматриваемых нами средств и определить ту роль, которую он выполняет в преступном сообществе.

Исследование электронных платежных систем, которыми пользовался виновный в незаконном обороте наркотических средств, позволит установить не только, кому он переводил денежные средства, но и кто ему отправлял переводы и на какую сумму. Следует отметить, что в последнее время в расчетах по сделкам с наркотическими средствами и психотропными веществами все чаще используется Bitcoin, для операций с которым гарантируется полная анонимность. При обнаружении виртуальных следов, подтверждающих факт посещения данным лицом конкретных сайтов с целью приобретения или сбыта такой валюты, можно предположить, что оно в своей незаконной деятельности использует средства такого расчета для ее засекречивания.

В связи с этим c помощью материальной информации, содержащейся в информационных следах, возможно выявить стадии преступной деятельности в рассматриваемой сфере, поскольку, как мы уже ранее отмечали, все незаконные действия с наркотическими средствами между собой тесно связаны.

Следует заметить, что тактические приемы осмотра компьютеров, телефонов, смартфонов и др. электронных средств связи имеет свои особенности.

Так, осмотр компьютеров требует тщательной подготовки.

Прежде всего, как мы уже отмечали, к участию в данном следственном действии следует пригласить соответствующего специалиста и вместе с ним выяснить количество и тип компьютерной техники, вид его программного обеспечения и характер взаимодействия (соподчиненности) устройств, наличие аппаратных и программных средств защиты от несанкционированного доступа. После чего определить возможные меры безопасности, предпринятые преступниками с целью уничтожения доказательств по делу.

Следует отметить, что при проведении данного следственного действия, следователь и другие участники должны знать и соблюдать общие правила обращения с компьютерной техникой и носителями информации, несоблюдение которых может привести к потере важной для расследования информации.

Особо следует обратить внимание на устройства, предназначенные для обмена информацией с другими компьютерами. Ими могут быть модемы или другие устройства (например, Wi-Fi), которые имеют возможность обмена сообщениями с другими компьютерами, телефаксными аппаратами, коммуникаторами и мобильными телефонами.

Осмотр компьютеров может производиться как в помещениях, где они установлены, так и в служебном кабинете следователя, куда после изъятия доставлена компьютерная техника.

При осмотре компьютерной техники следует обращать внимание на правильность внесения записей в протокол следственного действия, для чего необходимо:

• установить и зафиксировать в протоколе осмотра и прилагаемой к нему схеме расположение всех компьютеров в сети, их периферийных устройств, наличие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи;

• отразить в протоколе название (обычно указывается на лицевой стороне), серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие соединения с локальной вычислительной сетью и (или) сетями телекоммуникации, состояние устройств (со следами вскрытия или без);

• описывая внешнее состояние техники, следует обращать внимание на места подключения (напри-

JURISPRUDENCE

мер, соединительный кабель между коммуникационными портами принтера и системным блоком компьютера) периферийных устройств, винты крепления крышек корпуса, поверхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, а значит, могут остаться следы, наличие или отсутствие которых должно быть отражено в протоколе. Также должно быть отмечено наличие и состояние всех пометок, пломб, специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и др.), нанесенных на корпуса и устройства компьютеров, наличие загрязнений, механических повреждений и их локализация;

• точно описать порядок соединения между собой указанных устройств, промаркировав (при необходимости) соединительных кабелей и портов их подключения, после чего разъединить устройства компьютера;

• в протоколе фиксируется, какие файлы или программы скопированы и откуда, время начала и окончания копирования, количество копий. Указываются физические носители, на которые скопирована информация, их упаковка, технические характеристики принтера, который был использован для распечатки компьютерной информации.

При копировании информации с жесткого диска следует учитывать, что современные винчестеры имеют значительный объем дискового пространства и скопировать всю содержащуюся там информацию невозможно. Поэтому необходимо выбрать самое важное. Если оценить важность той или иной программы затруднительно, то для создания копий можно использовать архивацию (сжатие) информации.

Кроме компьютеров и периферийного оборудования, должны исследоваться носители компьютерной информации (оптические диски, съемные винчестеры, компакт-диски, флеш-карты и т. п.). Устанавливается, имеются ли на указанном объекте следы рук, механические повреждения. В протоколе указывается место обнаружения каждого носителя, температура воздуха, при которой они хранились, серийный заводской номер, тип, название, размеры, плотность записи, сведения об изготовителе, указываются надписи на упаковке, наклейки на носителях с соответствующими надписями, цвет материала упаковки и наклеек, состояние средств защиты записи от стирания.

Обнаруженная информация должна тщательно фиксироваться в протоколе осмотра данного компьютерного средства, особенно обратить внимание следует на вход в Интернет и сведения об обнаруженных интернет-магазинах.

В связи с этим в протоколе осмотра отражается сам факт входа на площадку «Гидра», на которой в настоящее время располагаются интернет-магазины по реализации наркотических средств.

При получении доступа к конкретному интернет-магазину следует в протоколе осмотра подробно описать его главную страницу: имеющиеся на ней изображения, надписи, разделы и т. д.; предлагаемый ассортимент наркотических средств и их название; сведения о реализованных наркотических средствах.

Необходимо также зафиксировать в протоколе учетные записи лиц, работающих в этом магазине и регионы, в которых они действуют.

Желательно обратить внимание на имеющийся в этом магазине раздел «форум» и при его осмотре отразить список сообщений, которые там оставляют поставщики наркотических средств, администраторы и клиенты.

Кроме осмотра магазина, в компьютере возможно обнаружить переписку через электронную почту, которую владелец этого осматриваемого средства вел со своими соучастниками или иными лицами, имеющими отношение в незаконному обороту наркотических средств, планы, схемы местности, где возможно оставление «закладок» наркотических средств и иную информацию, которая в последствии может стать вещественными доказательствами по расследуемому делу.

Помимо отражения полученных сведений, в протоколе осмотра компьютерного средства обнаруженная информация фотографируется, копируется специалистом на электронный носитель в документ формата Word и приобщается к протоколу осмотра компьютерного средства.

Для обеспечения дальнейшего экспертного исследования компьютерной техники требуется изымать все устройства. При изъятии, для исключения возможности доступа к компьютерной информации, разукомплектования и физического повреждения основных рабочих элементов, рекомендуется поместить технику в специальную упаковку (картонные или деревянные коробки, полиэтиленовые пакеты и др.), которые заклеиваются и опечатываются. Сле-

ЮРИДИЧЕСКИЕ НАУКИ

дует при этом отметить, что изъятие мониторов нецелесообразно.

Упаковать средства вычислительной техники необходимо:

• при наличии — в специальную тару, в которой данную технику поставляет предприятие-изготовитель;

• в картонные и деревянные коробки подходящего размера, уплотнить их прокладками из упругого материала (гофрированного картона, пенопласта, мятой бумаги и др.) с целью исключения перемещения техники внутри упаковки;

• в полиэтиленовые пакеты подходящего размера; если в пакеты упаковываются платы или блоки, необходимо принять меры для исключения повреждения микросхем (поместить плату между двумя пластинами мягкого гофрированного картона и перетянуть липкой лентой или ниткой и др.).

Следует также опломбировать упаковку (оклеить бумажными лентами с подписями следователя и понятых).

Осмотр телефонов, смартфонов и иных цифровых устройств.

Данный вид осмотра также проводится обязательно в присутствии специалиста.

Прежде чем приступить к осмотру данных объектов следует убедиться, что аккумуляторная батарея заряжена. В противном случае необходимо обеспечить его работу от электросети. Помимо этого, в месте осмотра не должны находиться предметы, обладающие сильным электромагнитным излучением.

В остальном при проведении данного следственного действия используются тактические приемы, разработанные криминалистической тактикой для осмотра предметов.

В ходе осмотра обращается внимание на наименование предмета, его размеры, цвет, конструкцию, внешний вид, материал, из которого изготовлен, модель, серийный номер, характеристику клавиатуры, а также фоновый рисунок на дисплее.

В случае обнаружения царапин, потертостей, сколов на корпусе или дисплее, следует указать, что они из себя представляют, где конкретно находятся, их количество и размеры. При залипании или иных дефектах клавиш, фиксируется какие конкретно клавиши залипают, и какие конкретно иные дефекты имеются. В случае обнаружения на корпусе телефона или

смартфона наклеек или украшений, в протоколе отмечается их размещение, форма, цвет и т. д.

В обязательном порядке указывается IMEI-номер, расположенный на корпусе под аккумуляторной батареей, а также идентификационный номер, для чего необходимо нажать на клавиатуре *#06#. При этом на дисплее высвечивается 15-значный номер.

В результате осмотра SIM-карты устанавливаются ее цвет и размер, номер, логотип, индивидуальные признаки, если таковые имеются.

Информация, содержащаяся в данном мобильном телефоне или смартфоне, может быть обнаружена при исследовании содержащихся в них разделах. Так, изучение раздела «записная книга» позволяет выявить содержащиеся в данном объекте телефонные номера и сведения об их владельцах; раздела «контакты» — последних входящих и исходящих звонках, дате, времени и продолжительности соединения; «сообщения» — входящих и исходящих sms, mms, ems; адреса электронной почты как самого владельца, так и лиц, с кем он переписывался; профили в соц. сетях; личные данные, в том числе и других лиц, с кем происходило общение с осматриваемого средства; карты; фотографии, в том числе и с геопозиционными данными и другую интересующую следственные органы информацию.

Такую информацию можно получить с помощью специально установленных для этого программ для выхода в Интернет и ведения переписки (ICQ, Telegram, Jabber, Brosix, Viber, OOVOO, Vipole) и др. [1, с. 82-99].

В настоящее время преступники отдают предпочтение мессенджеру Telegram в связи с тем, что его серверы находятся за пределами России. Это не только способствует еще большей конспирации их незаконных действий, обеспечивает полную анонимность, но и за счет встроенной функции секретных чатов позволяет, используя таймер самоуничтожения, стирать посылаемые сообщения удаленно через другие устройства.

В связи с тем, что основным платежным средством за приобретение наркотических средств в настоящее время является Bitcoin, проследить транзакции владельца осматриваемого смартфона или телефона возможно с помощью специальной программы «Blockchain». При этом целесообразнее просматривать историю движения криптовалюты на ноутбуке следователя с тем, чтобы сразу можно

JURISPRUDENCE

было переносить информацию с осматриваемого устройства.

Помимо этого, в случаях обнаружения на осматриваемых электронных средствах связи приложений синхронизации файлов, например, Яндекс.Диск, Googe-drive и др., необходимо просмотреть имеющуюся информацию «облачных хранилищ» и при необходимости также скопировать и приобщить к протоколу осмотра.

При осмотре интернет-браузера возможно проследить на какие сайты заходил владелец осматриваемого устройства, а также даты и время посещения, что также должно отражаться в протоколе осмотра и, кроме того, к протоколу приобщаются скриншоты такой информации.

Если в процессе осмотра конкретного электронного средства связи не удается просмотреть имеющиеся на нем файлы и другую информацию, необходимо использовать переносной компьютер, содержащий программы просмотра распространенных форматов файлов, таких как .doc, .docs, .pdf и другие и программы подбора паролей, например Advanced Archive Password Recovery.

Факт применения технических средств, их наименование и использованные при этом тактические

приемы необходимо отразить в протоколе осмотра электронных средств связи.

Список источников

1. Земцова С. И., Суров О. А., Галушин П. В. Методика расследования незаконного сбыта наркотических средств, совершенного с использованием интернет-технологий: учеб. пособие. М., 2019.

2. Суров О. А., Земцова С. И., Галушин П. В. Методика расследования незаконного сбыта наркотических средств, психотропных веществ или их аналогов, совершенного с использованием интернет-магазинов: учеб. пособие. Красноярск : СибЮИ МВД России, 2016.

References

1. Zemtsova S. I., Surov O. A., Galushin P. V. Methods of investigation of illegal sale of narcotic drugs committed using Internet technologies: textbook. manual. M., 2019.

2. Surov O. A., Zemtsova S. I., Galushin P. V. Methods of investigation of illegal sale of narcotic drugs, psychotropic substances or their analogues committed using online stores: textbook. stipend. Krasnoyarsk : SibUI of the Ministry of Internal Affairs of Russia, 2016.

Информация об авторе

Л. Е. Чистова — доцент кафедры криминалистики Московского университета МВД России имени В.Я. Кикотя, кандидат юридических наук, доцент.

Information about the authors

L. E. Chistova—Associate Professor of the Department of Criminology of the Moscow University of the Ministry of Internal affairs of Russia named after V.Ya. Kikot', Candidate of Legal Sciences, Associate Professor.

Статья поступила в редакцию 28.03.2022; одобрена после рецензирования 23.05.2022; принята к публикации 03.06.2022.

The article was submitted 28.03.2022; approved after reviewing 23.05.2022; accepted for publication 03.06.2022.