CC BY
199
4. http://www.russlav.ru/narkotik/narcomaniya.html
5. Об оперативно-розыскной деятельности: Федеральный Закон РФ от 12 октября1995 г.
№ 144-ФЗ // Собрание законодательства РФ. 1995. № 33.Ст.3349.
6. Собрание законодательства Российской Федерации. 2006. № 2. Ст. 176.
ОСМОТР МЕСТА ПРОИСШЕСТВИЯ ПО ДЕЛАМ О ЗАВЕДОМО ЛОЖНОМ СООБЩЕНИИ ОБ АКТЕ ТЕРРОРИЗМА ПОСРЕДСТВОМ СЕТИ ИНТЕРНЕТ
CRIME SCENE SEARCH IN CASES OF INTENTIONALLY MESSAGES ABOUT ACTS OF TERROR SENT VIA INTERNET
NETWORK
УДК 343.132.1:004:738.5
О.Н. СКОМОРОХОВ,
кандидат юридических наук;
А.В. ЧУРСИН
(Белгородский юридический институт МВД России)
Аннотация: в статье рассматриваются вопросы осмотра места происшествия по делам о заведомо ложном сообщении об акте терроризма посредством сети Интернет.
Ключевые слова: осмотр места происшествия, заведомо ложное сообщение, терроризм, сеть Интернет.
O. N. Skomorokhov, the candidate of jurisprudence, the Belgorod Law Institute of the Ministry of Internal Affairs in Russia;
A.V. Chursin, Belgorod Law Institute of the Ministry of Internal Affairs in Russia.
Abstract: The article deals with a range of aspects concerning search of crime scenes in case of fradulent messages about acts of terror which are sent intentionally through the Internet.
Keywords: crime scene search, intentionally fradulent message, terrorism, Internet.
Основными задачами первоначального этапа расследования заведомо ложного сообщения об акте терроризма являются: ориентирование лица, производящего расследование, в обстоятельствах расследуемого события; поиск и выявление источников (носителей) криминалистически значимой информации по делу, получение доказательств; установление и розыск подозреваемого лица (лиц); предотвращение совершения новых преступлений (заведомо ложных сообщений об акте терроризма).
Осмотр места происшествия.
В качестве основных тактических приемов проведения следственного осмотра, обыска, связанных с исследованием средств крими-
налистической техники, можно назвать:
- привлечение к участию в следственном действии специалистов в области программирования, компьютерного оборудования и технологий;
- привлечение в качестве понятых лиц, обладающих познаниями в области компьютерной техники и технологий;
- изучение личности обыскиваемых, а также характера компьютерного оборудования, находящегося в месте проведения следственного действия;
- планирование следственного действия;
- обеспечение безопасности компьютерного оборудования, находящегося в месте
следственного действия;
- надлежащее техническое обеспечение проведения следственных действий;
- изучение и фиксация в протоколе и иными средствами (фото-, видеосъемка, схемы, планы) расположения и характера компьютерного оборудования, характера работающих на момент производства следственного действия программ, принятие экстренных действий по предотвращению потери компьютерной информации;
- изъятие обнаруженных объектов способами, исключающими их повреждение или потерю каких-либо данных, а также позволяющими использовать изъятое компьютерное оборудование в процессе расследования.
Осмотр места, куда пришло сообщение об акте терроризма.
Фрагмент протокола осмотра места происшествия, куда посредством сети Интернет пришло сообщение о заведомо ложном акте терроризма:
«Объектом осмотра является <...> слева от входа в указанное помещение расположен офисный стол общими размерами, приблизительно, 200х150 см, выполненный из полимерного материала светло-коричневого цвета. На данном столе установлен монитор марки «Samsung» модели «SyncMaster 923nw» в корпусе черного цвета, манипулятор типа «мышь» марки «Oklick» в корпусе черного цвета, клавиатра марки «Genius» в корпусе черного цвета, которые посредством кабелей соединены с системным блоком ЭВМ, расположенным под указанным столом. Также в сетевой адаптер системного блока подключен сетевой кабель типа «UTP» категории «5Е» серого цвета.
На момент осмотра компьютер находится во включенном состоянии. На рабочем поле монитора отображен интерфейс операционной системы «Microsoft Windows XP», а также открыто окно программного продукта «Mozilla Thunderbird».
При осмотре интерфейса программного продукта «Mozilla Thunderbird» установлено, что программа имеет следующие компоненты меню: «Файл», «Правка», «Вид», «Переход», «Сообщение», «Инструменты», «Справка». Ниже указанных компонентов расположена панель инструментов с вкладками: «Получить», «Создать», «Чат» и «Адресная книга». Ниже панели инструментов слева расположено окно с наименованием электронного почтового ящика «common@ intbel.ru» с вкладками: «Входящие», «Отправленные», «Удаленные» и «Сохраненные». Во
вкладке «Входящие» имеется электронное письмо от пользователя «limi9489@yahoo. com» с темой «Внимание!». При двойном нажатии левой кнопки манипулятора типа «мышь» на указанное выше электронное письмо в новой вкладке программного продукта «Mozilla Thunderbird» открылось окно с содержанием текста данного письма следующего содержания: «Внимание! Университет заминирован!». Для распечатывания текста электронного письма было выбрано меню «Печать» (Приложение № ХХ). После чего было выбрано меню «Другие действия»
- «Показать исходник» в результате чего на рабочем поле монитора отобразилось окно «Исходный код», в котором отображена техническая информация указанного электронного письма, которая также при помощи меню «Печать» была распечатана (Приложение № ХХ), согласно которой установлено, что указанное электронное письмо было отправлено 06 ноября 2012 года в 10 часов 30 минут при использовании IP-адреса сетевого интерфейса «80.75.139.11».
По делам о заведомо ложном сообщении об акте терроризма место, на которое указывает лицо, сделавшее сообщение (т.е. «заминированный» объект) не всегда можно назвать в строгом смысле слова местом происшествия, если в указанном месте не будет обнаружен макет взрывного устройства или отображения иных действий преступника (например, созданные злоумышленником препятствия, затрудняющие поисковые действия сотрудников правоохранительных органов). В указанном случае правильнее говорить о помещении (или участке местности), не являющемся местом происшествия.
Практика деятельности правоохранительных органов при проверке сообщения о готовящемся взрыве пошла по этому же пути. В силу специфики поступающих сообщений и деятельности по их проверке первоначально объект, подвергшийся угрозе взрыва, осматривается (в административноправовой форме) специалистами на предмет обнаружения взрывного устройства. По результатам осмотра специалистами составляется акт. А уже затем дознаватель принимает решение о необходимости проведения следственного осмотра (осмотра места происшествия), в случае обнаружения макета взрывного устройства или иных следов, могущих иметь отношение к расследуемому событию.
Интернет образует глобальное информационное пространство, служит физической
основой для Всемирной паутины и множества систем (протоколов) передачи данных.
Несмотря на отсутствие границ и огромное виртуальное пространство, образованное добровольно объединенными компьютерными сетями, благодаря своему построению, основанному на использовании протокола IP, каждый пользователь сети имеет свой адрес, по которому его можно идентифицировать.
Протокол IP образует единое адресное пространство в масштабах всего мира, но в каждой отдельной сети может существовать и собственное адресное подпространство, которое выбирается исходя из класса сети. Такая организация IP-адресов позволяет маршрутизаторам однозначно определять дальнейшее направление для каждого мельчайшего пакета данных.
Подобно тому, как в телефонной сети каждому телефону присваивается телефонный номер, так каждому компьютеру сети присваивается свой номер, называемый IP-адресом.
Протокол IP (Internet Protocol). Каждый IP-адрес представлен цифровым адресом,
- двоичным числом длиной 32 бит в виде четырех десятичных чисел от 0 до 255, например: 198.106.72.372,
198.106.- адрес сети, 72 - адрес подсети, 372 - адрес компьютера.
Цифровой адрес удобен для обработки на компьютере, но трудно воспринимаем человеком.
Совершенно равноправно вместе с цифровым адресом существует доменный адрес, который лучше воспринимается человеком.
В системе Интернет приняты домены, представленные географическими регионами, состоящие из двух букв.
Пример: Франция - fr, США - us, Россия - ru.
Существуют домены, разделенные по тематическому признаку.
Пример: учебные заведения - edu, коммерческие организации - com, gov - правительство, mil - военные, net - организации, обеспечивающие доступ к сети, и др.
Компьютерное имя включает как минимум два уровня доменов, разделенных точкой. Например:
uvd.bel.ru
где ru - общий домен 1 уровня для России, uvd - домен 3 уровня, является поддоменом домена 2 уровня bel.
Для входа в Интернет необходимо знать адрес домена, с которым нужно установить связь. Знать цифровой адрес не обязательно.
У каждого компьютера, даже если он не
подключен к сети Интернет, есть свой цифровой номер - IP-адрес.
Например, у неподключенного к сети компьютера имеется следующий адрес: 198.106.72.372
IP-адрес назначается администратором во время конфигурирования компьютера и маршрутизатора.
При подключении компьютера к сети ему присваивается другой IP-адрес. Назначение IP-адреса каждому компьютеру, подключенному к сети Интернет, дает возможность определения конкретного адресата сообщения. При этом он может быть каждый раз новым (динамический IP-адрес) либо оставаться неизменным (статический IP-адрес). Адрес сети выдаётся провайдером либо региональным интернет-регистратором (Regional Internet Registry, RIR).
Всего существует пять RIR:
- ARIN, обслуживающий Северную Америку;
- APNIC, обслуживающий страны ЮгоВосточной Азии;
- AfriNIC, обслуживающий страны Африки;
- LACNIC, обслуживающий страны Южной Америки и бассейна Карибского моря;
- RIPE NCC, обслуживающий Европу, Центральную Азию, Ближний Восток.
Региональные регистраторы получают номера автономных систем и большие блоки адресов у ICANN, а затем выдают номера автономных систем и блоки адресов меньшего размера локальным интернет-регистраторам (Local Internet Registries, LIR), обычно являющимися крупными провайдерами, предоставляющими доступ к сети Интернет.
Динамический IP-адрес назначается автоматически при каждом подключении компьютера к сети и используется до завершения сеанса подключения. При следующем подключении назначается новый IP-адрес.
Статический (реальный) IP-адрес жестко закреплен за абонентом. При каждом сеансе связи пользователю присваивается один и тот же IP-адрес.
Такой тип соединения позволяет обращаться к компьютеру, когда он подключен к сети Интернет, по постоянному, неизменному адресу. То есть у компьютера будет свой постоянный адрес в Интернете.
Провайдеры используют такой тип соединения для защиты от воровства трафика. Пользователю обычно это нужно для создания сайта на собственной машине или для участия в пиринговых (peer-to-peer) сетях. Кроме того, в Интернет существует ряд сер-
висов (обычно коммерческих), для работы с которыми может потребоваться реальный IP-адрес.
С точки зрения безопасности пользователя, динамический IP предпочтительнее, так как затрудняет отслеживание компьютера хакерами, и, следовательно, делает более неудобной проведение на него атаки.
При проведении мероприятий по выявлению отправителя сообщения динамический IP делает более сложным процесс отслеживания компьютера.
Для определения отправителя сообщения необходимо определить его IP-адрес. Но необходимо понимать, что узнать IP-адрес пользователя - это не значит узнать фактический адрес проживания. По IP-адресу можно узнать город и страну проживания пользователя, а также получить информацию о его провайдере, а вот провайдер имеет уже данные и о фактическом местоположении пользователя.
Для установления IP-адреса сетевого интерфейса провайдеру по месту его нахождения направляется запрос.
Так, 10 марта 2011 года в 10 часов 30 минут на адрес электронной почты «common@ intbel.ru», принадлежащей Белгородскому технологическому университету им. В.Г. Шухова, поступило электронное письмо следующего содержания: «Университет заминирован!». Согласно установочным данным электронного письма, оно было направлено в 10:33:37 часов пользователем «Limi Limi» с адреса электронной почты «limi9489@yahoo. com».
Согласно данным сервера БГТУ им. В.Г. Шухова с данного адреса электронной почты были разосланы письма аналогичного содержания на следующие адреса: «info@intbel.ru», «offis@intbel.ru», «belengec@intbel.ru», «rectorat@intbel.ru», «common@intbel.ru» и «rector@intbel.ru», которыми пользуется БГТУ им. В.Г. Шухова в своей деятельности.
Адрес электронной почты «limi9489@yahoo. com» относится к сервису «Yahoo!Mail», который имеет диапазон IP-адресов, выделенных компании «Yahoo.com», расположенной в г. Саннивейл, штата Калифорния, США.
Для дальнейшей проверки подготовлен допрос в правоохранительные органы США по линии Интерпола и по ответу на запрос был установлен адрес электронной почты лица, отправившего сообщения.
Наиболее информативным является место, откуда злоумышленник передает сооб-
щение.
Осмотр может проводиться либо одновременно несколькими его участниками, либо одним дознавателем последовательно от одного информационного узла к другому.
Завершается рассматриваемая стадия составлением схемы (плана) фрагмента «кибернетического пространства», который затем будет наполняться сведениями об обстановке и криминалистически значимых ее деталях, выявленных на последующих (статической и динамической) стадиях рабочего этапа осмотра места происшествия.
Сущность статической стадии рабочего этапа осмотра места происшествия определяется ее наименованием (статика - от греч. states, стоящий - состояние покоя, равновесия). В статике дознаватель осматривает и фиксирует (применяя обзорную, узловую и детальную фотосъемку, видеозапись и отражая на плане) обстановку места совершения преступления, отдельные объекты и детали в их неподвижном состоянии - в том, в котором они находятся на момент осмотра. При этом указываются рабочие места пользователей автоматизированной информационной системы, их рабочие столы, персональные компьютеры и т.п.
На данной стадии производится осмотр состава и конфигурации отдельных вычислительных систем (персональных ЭВМ, их системы), а также содержимого магнитных носителей информации (обнаруженных дискет и жестких магнитных дисков). При этом обращается внимание на их внешнее состояние, наличие и установку джамперов (перемычек) на винчестерах, заглушек на дискетах, способы соединения отдельных элементов вычислительных систем друг с другом и порядок подачи электропитания. Следует отметить, что все указанные операции выполняются, как правило, без подключения электропитания.
Отдельно необходимо подчеркнуть требования фиксации заводской маркировки, серийных номеров плат и отдельных элементов вычислительных систем, а также отдельных индивидуальных отличительных признаков (элементов, прикрепленных методом навесной пайки, следов доработки и усовершенствования и т.п.).
На данной стадии выясняется возможность изъятия отдельных элементов вычислительных средств из состава ЭВМ или их системы для последующего осмотра в специальных (лабораторных)условиях.
На динамической стадии все объекты на
месте происшествия тщательно и детально осматриваются, принимаются все возможные меры и средства к обнаружению, фиксации и изъятию следов, выявляются и фиксируются негативные обстоятельства.
Особое внимание следует обращать на обнаружение невидимых или слабовидимых следов, а также микрочастиц и других микроследов. При этом надо иметь в виду, что если объект, на котором предполагается наличие таких следов, может быть изъят с места совершения преступления (или может быть изъята представляющая такой интерес часть объекта), то дознаватель при осмотре должен этим и ограничиться. Тем самым будет обеспечена возможность выявления и изучения следов на изъятых объектах экспертами в лабораторных условиях с использованием более чувствительных и надежных методов, чем те, которые реально доступны дознавателю и специалистам на месте происшествия. В первую очередь это касается магнитных носителей информации (дискет, компакт-дисков, магнитооптических дисков и т.п.). При их изъятии на бирке должно быть указано место их обнаружения.
На данной стадии рабочего этапа производства осмотра осуществляются включение электропитания, запуск средств вычислительной техники и сбор информации о динамической конфигурации аппаратных и программных средств (файлы инициализации, конфигурации и настроек), информации, содержащейся на магнитных носителях (список программных средств, установленных на вычислительной системе, список файлов, обрабатывавшихся последними для каждого из программных средств, и т.п.).
Заключительный этап осмотра места совершения преступления состоит из принятия мер к сохранению вещественных доказательств, изъятие которых невозможно, упаковки изымаемых предметов, окончания
составления планов и схем осмотренного места происшествия и составления протокола данного следственного действия.
С целью получения розыскной информации об адресате, отправившем сообщение о готовящемся взрыве, обнаруженные следы могут подвергаться предварительному исследованию специалистом в ходе осмотра места происшествия или непосредственно после его завершения, что может помочь в организации и поиске преступника по «горячим следам».
Оперативный работник, входящий в состав следственно-оперативной группы, прибывшей к месту осмотра, должен, ознакомившись с исходной информацией, начать поисковые мероприятия по установлению личности человека, сделавшего сообщение об угрозе взрыва, а также по установлению свидетелей и очевидцев.
В этой ситуации необходимо произвести опросы лиц, которые могли видеть подозреваемого, принять меры по проверке на причастность к совершенному деянию лиц, совершавших аналогичные преступления в прошлом, ориентировать внештатных и других помощников полиции на поиск анонима, отправившего сообщение. Положительный результат могут дать параллельно проводимые поисковые мероприятия на «заминированном» объекте: опрос руководителей, сотрудников предприятия, учреждения, организации о случавшихся ранее подобных происшествиях, лицах, могущих быть причастными к данному событию, предполагаемых мотивах совершения данного деяния.
Все сказанное в полной мере относится и к осмотру объекта угрозы, если дознавателем (лицом, производящим расследование) будет принято решение о проведении следственного осмотра места происшествия в указанном месте в случае обнаружения там следов преступления или преступника.
