УДК343.1
ИННА АЛЕКСАНДРОВНА СУРОВЕНКО,
кандидат юридических наук, доцент кафедры предварительного расследования ФГКОУ ВО «Санкт-Петербургский университет МВД России»;
АННА АЛЕКСАНДРОВНА ГУДЗЬ,
старший следователь 7 отдела следственной части по расследованию организованной преступной деятельности ГСУ ГУ МВД России по г. Санкт-Петербургу и Ленинградской области
ОСОБЕННОСТИ ИЗЪЯТИЯ ЭЛЕКТРОННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
В ХОДЕ ОБЫСКОВ
Рассматриваются особенности производства обыска и изъятия электронных носителей информации по уголовным делам экономической направленности с участием специалиста, имеющего специальные познания в данной области.
Ключевые слова: обыск, выемка, компьютер, электронный носитель информации.
I.A. Surovenko, PhD (Law), Associate Professor of the Department of Preliminary Inves-tigation, Saint-Petersburg University of the Ministry of the Interior of Russia; e-mail: vb123vb@mail.ru, tel.: 8 (812) 730-26-90;
A.A. Gudz, Senior Investigator of the 7th Division of the Investigatory Unit on Organized Crime Investigation of the Criminal Investigation Department of the Central Department of the Ministry of the Interior of Russia in Saint Petersburg and Leningrad region; e-mail: ganna.spb@mail.ru, tel.: 8 (812) 573-39-52.
Features of withdrawal of electronic media of information during searches.
The article describes the peculiarities of the search and confiscation of electronic infor-mation-carrying mediums dealing with economic crime cases involving a specialist knowledgeable in this field.
Key words: search, confiscation, computer, electronic information-carrying medium.
В настоящее время в повседневной и про- следователем решения о необходимости произ-
фессиональной деятельности любого предпри- водства обыска, его планирования желательно
ятия, организации, учреждения достаточно широ- получить оперативные данные об организации
ко распространен электронный документооборот локальной сети предприятия, организации, уч-
с использованием различных средств вычисли- реждения, используемых операционных систе-
тельной техники. мах, системах управления базами данных (СУБД),
В современных условиях особое значение политике информационной безопасности, в чью
при расследовании преступлений приобрела пра- компетенцию входят вопросы физического досту-
вильная тактика и организация процесса обнару- па к оборудованию, парольной защиты, сохран-
жения и фиксации доказательств на электронных ности персональных данных и т.п. носителях информации с участием квалифициро- Организация локальных сетей предприятий,
ванных специалистов в данной области. организаций, учреждений может быть самой раз-
Важнейшим следственным действием, на- личной. Это могут быть одноранговые сети не-
правленным на сбор и фиксацию доказатель- больших предприятий, сети с выделенным серве-
ственной базы по уголовным делам, является ром и контроллером домена, гетерогенные сети. обыск. Для обеспечения единообразной практи- Персональные компьютеры и серверы могут
ки правоприменения и результативности данного находиться в пределах одного кабинета, помеще-
следственного действия тактика и методика его ния (офиса) или здания либо соединяться по тех-
проведения активно обсуждаются на страницах нологии виртуальных частных сетей (VPN - Virtual
юридической литературы, например в работах Private Networks), локальные сети могут иметь
И.В. Казначея [2, с. 14-20], Л.С. Шеховцовой [4, распределенную структуру (территориально уда-
с. 205-209], С.В. Задерако [1] и др. При принятии ленно друг от друга). В настоящее время широ-
ко используются облачные технологии при эксплуатации самой разнообразной компьютерной техники. Большинство компьютеров организации подключается к локальным сетям с типовым составом:
персональные компьютеры, серверы, сетевые массивы;
коммутаторы различного уровня; шлюзы (маршрутизаторы); линии связи и соединительное оборудование.
Совокупность коммутационного оборудования и линий (кабеля) связи образует структурированную кабельную систему (СКС). В СКС могут входить также подсистемы телефонии, видеонаблюдения и т.п. При проведении следственных мероприятий (обыска, выемки) информация о СКС (чертежи, план размещения оборудования) способствует выявлению всех подключенных узлов сети и обеспечивает контроль над сетью.
Шлюз для подключения к сети Интернет может содержать данные об IP-адресах, предоставляемых поставщиком услуг доступа (провайдером). Как правило, в большинстве случаев шлюз при подключении к сети Интернет использует технологию преобразования сетевых адресов NAT (Network Address Translation).
На рабочих местах предприятиями могут использоваться переносные персональные компьютеры (ноутбуки), персональные компьютеры, выполненные в виде моноблока, персональные компьютеры, имеющие типовые форм-факторы системного блока («mATX», «ATX», «Nettop» и т.п.), терминальные компьютеры, которые могут не иметь в своем составе цифровых носителей информации, планшетные компьютеры. Используются различные операционные системы. Наиболее распространены операционные системы корпорации Майкрософт (США): Windows XP, Windows 7, Windows 8 - 8.1. На рабочих местах также могут применяться системы OS X (MAC OS) корпорации «Эппл», GNU/Linux, Oracle Solaris и т.д.
Предприятия имеют, как правило, один или несколько выделенных серверов. Сервер может представлять собой любой персональный компьютер с запущенными на нем сетевыми сервисами. Обычно используется специальное серверное оборудование в корпусах настольного исполнения или устанавливаемого в стандартное шасси (19-дюймовые стойки и шкафы). Широко применяются сетевые системы хранения данных (NAS - Network Attached Storage). С помощью NAS-систем часто осуществляют совместный до-
кументооборот или их используют для резервного хранения данных.
Федеральным законом от 28 июля 2012 г. № 143-Ф3 «О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации» в ст. 182 Уголовно-процессуального кодекса РФ (основания и порядок производства обыска) внесена ч. 9.1, согласно которой при производстве обыска электронные носители информации изымаются с участием специалиста [3]. Специалист привлекается к участию в следственном действии следователем. В соответствии со ст. 58 УПК РФ специалист - это лицо, обладающее специальными знаниями, привлекаемое к участию в процессуальных действиях для содействия в обнаружении, закреплении и изъятии предметов и документов, применении технических средств, в исследовании материалов уголовного дела, для постановки вопросов эксперту, а также для разъяснения сторонам и суду вопросов, входящих в его профессиональную компетенцию.
Следователь обязан удостовериться в компетентности специалиста, выяснить уровень образования (специалист должен иметь диплом инженера (бакалавра) по направлению подготовки «Информатика и вычислительная техника», допускается диплом о среднем специальном образовании по аналогичной специализации), стаж работы, его отношение к подозреваемому, обвиняемому или потерпевшему.
При проведении следственных действий специалист должен иметь по возможности следующий минимальный набор технических средств:
переносной персональный компьютер (ноутбук) с оптическим приводом DVD±RW и высокоскоростными интерфейсами USB 3.0; переходник типа «USB to SATA & IDE»; USB-флэш-накопитель со специальным программным обеспечением;
USB-накопитель объемом не менее 500 Гб для проведения исследований.
В настоящее время гибкие магнитные диски практически не используются. В некоторых исключительных случаях может потребоваться внешний накопитель на гибких магнитных дисках (FDD USB-дисковод 3,5"). При выборе программ для ноутбука специалисту следует ориентироваться на использование свободного программного обеспечения (программы с исходным открытым кодом). Операционная система может быть из линейки продукции компании Майкрософт (США) или универсального дистрибутива на базе GNU/Linux. Существуют специализированные
дистрибутивы GNU/Linux для криминалистических исследований, например «Ubuntu Cyber Pack (ALF) 1.0 (Analysis, Logging, Forensics)», «CAINE 6.0 (Computer Aided I Nvestigative Environment) Dark Matter» и т.п. Такие дистрибутивы должны обеспечивать невозможность компрометации (изменения или уничтожения) исследуемых данных и результатов исследований. В некоторых случаях требуются программы для исследования оперативной памяти компьютера.
Сейчас может использоваться шифрование файлов или разделов диска компьютера. В оперативной памяти компьютера можно обнаружить ключи для расшифровки содержимого крипто-контейнеров (True Crypt или Bi tLocker). Для этого существует, например, программа «Elcomsoft Forensic Disk Decryptor» (Россия).
Специалисту рекомендуется иметь программы, позволяющие произвести сохранение слепков (образов) оперативной памяти с работающего компьютера и сделать их анализ в лабораторных условиях. Однако с учетом того, что обычно следователя интересуют минувшие периоды времени, а не текущие финансовые операции организации, создание слепков (образов) оперативной памяти в ходе обыска практически не производится, также могут понадобиться программы, которые можно запускать с USB-накопителя для исследования системных логов, изучения истории браузеров, сохраненных паролей и т.п.
При проведении обыска следует в первую очередь исключить возможность уничтожения данных средствами удаленного администрирования. Это может достигаться отключением локальной сети от сетевого шлюза и запретом лицам, находящимся в обыскиваемом помещении (здании), приближаться к компьютерам и пользоваться мобильными телефонами. Но тогда будут отключены сетевые сессии подключения к облачным хранилищам, серверам терминалов и удаленным базам данных, что делает недоступным их исследование. В данном случае по рекомендации специалиста следователю требуется определить, какая информация для него более ценная: находящаяся на носителях информации либо удаленная. Сетевой шлюз может находиться в самом офисе, в точках этажной консолидации или в коммутационном центре (серверном помещении). В некоторых случаях шлюз может находиться в соседнем здании.
Другой опасностью при обеспечении сохранности данных являются устройства экстренного уничтожения информации. Такие устройства
представляют собой контейнеры с дистанционным управлением (с помощью проводной кнопки, по беспроводным каналам связи), которые могут с помощью импульса магнитного поля полностью уничтожить структуру данных магнитного носителя информации, например накопителя на жестких магнитных дисках (НЖМД).
В ходе обыска целесообразно с помощью специалиста на месте изучить содержащуюся в компьютере информацию, чтобы узнать, есть ли там сведения, имеющие значение для уголовного дела. Это позволит на первоначальном этапе расследования либо проверки исключить изъятие не имеющего значения для следствия оборудования.
При осмотре компьютера в процессе производства обыска следует обратить внимание: на установленное системное время (если установлено не текущее время, то этот факт заносится в протокол), на использование технологий шифрования разделов диска (Bit Locker Drive Encryption, шифрование с помощью True Crypt и т.п.).
При изучении содержимого компьютера по месту производства обыска можно использовать поисковые средства операционных систем, позволяющие найти интересующую следствие информацию. Важной составляющей при этом является определение поисковых (ключевых) слов. Ключевые слова задаются следователем. Например, осуществляется поиск документов по предприятию ООО «Дом и сад». Ключевым словом в данном случае для простого поиска будет являться последовательность символов «дом».
Для поиска в MS Windows (Vista...8.2) достаточно ввести несколько символов в поле поиска или указать расширение файлов (например, «docx»). Возможно использование операторов «AND», «OR», «NOT». Для повышения эффективности поиска можно добавлять фильтры.
Примеры использования поисковых операторов:
«дом AND сад», поиск файлов, содержащих оба слова («дом» и «сад») (даже если они находятся в разных областях файла);
«дом NOT сад», поиск файлов, содержащих слово «дом», но без «са-да»;
«дом OR сад», поиск файлов, содержащих слова «дом» или «сад».
Более эффективный поиск в системах MS Wndows возможен из командной строки, а также путем совместного использования команд «dir» и «find»: «dir c:\ /s /b | find "дом"». Команда отобразит все файлы, где встречается последовательность «дом».
Специалист получает возможность поиска информации на компьютерах в ходе проведения обыска. В первую очередь требуется определить топологию локальной сети, сетевую адресацию, наличие сетевых каталогов. Если в сети используется контроллер домена, следует определить использование перемещаемых профилей и сетевых каталогов (домашних каталогов). При наличии перемещаемых профилей и сетевых каталогов потребуется определение места нахождения сервера и его осмотр.
В процессе осмотра могут возникнуть следующие трудности: компьютер выключен и после включения требует ввода парольной фразы, авторизации по биометрическим данным или использования иЭВ-ключа (смарт-карты); компьютер не загружается по различным причинам (аппаратным или программным). В этих случаях целесообразно изъять накопитель на жестких магнитных дисках для проведения дальнейших исследований.
При невозможности осмотра компьютера следует извлечь из него электронные носители информации (НЖМД, твердотельные диски). Возможен осмотр извлеченных носителей на месте при подключении их к персональному компьютеру специалиста. Изъятие всего системного блока в большинстве случаев нерационально.
Часто накопители из ноутбуков и моноблоков извлечь в условиях обыска не представляется возможным (усложнен доступ к накопителям). В таких случаях следует производить изъятие устройства целиком.
При изъятии извлеченного из компьютера носителя специалист решает вопрос о применении штатной процедуры выключения или преры-ваниея энергопитания (например, удержанием кнопки питания более 5 секунд). Второе требуется, если есть предположение об использовании программного обеспечения, удаляющего данные при штатном выключении («логическая бомба»). Некоторые несущественные данные при прерывании электропитания могут не сохраниться (текущие открытые документы, файлы логов).
При извлечении электронных носителей информации в протокол заносится описание расположения рабочего места и системного блока (указываются серийные номера и отличительные признаки). Для однозначной идентификации рабочего места возможно применение цифровой фототехники. Производится фотосъемка рабочего места, системного блока, системного блока с открытой боковой крышкой, извлеченных носите-
лей информации. Фотографирование носителей информации следует осуществлять с фокусировкой на наклейку, где указаны модель и серийный номер.
Данные извлеченного носителя записываются в протокол, а сам носитель упаковывается способом, исключающим свободный доступ к содержимому без нарушения целостности упаковки. Упаковка сопровождается пояснительной надписью, например: «Накопитель на жестких магнитных дисках „Western Digital Creen WD10EZRX" серийный номер WCC4J9P66U3F, изъятый 10.02.2015 г в ходе обыска по адресу: г Санкт-Петербург ул. Добролюбова, дом 55, офис 62 ООО „Дом и сад"».
При изъятии электронных носителей информации следует соблюдать аккуратность, технику безопасности, не прикасаться к рабочим поверхностям оптических дисков. Однотипные носители информации желательно упаковывать совместно. Упаковка должна обеспечивать безопасность носителя, предохранять от внешних воздействий при транспортировке и хранении.
Особую сложность представляет осмотр серверов. В небольших предприятиях сервера может и не быть. Серверы в большинстве случаев устанавливают в специальные шкафы и стойки. Там же может быть установлено другое коммутационное оборудование (роутеры, коммутаторы, бесперебойные источники питания, сетевые массивы и т.п.). Часто обслуживание серверов производит сторонняя организация (метод «аутсорсинга»). В этом случае предприятие, где производится обыск, может не иметь информации о паролях доступа и функционировании сервера. Тогда требуется вызвать специалиста этой организации. Серверы желательно изымать целиком, так как в них могут использоваться массивы RAID (избыточный массив независимых дисков) разного уровня. Минимальное число дисков в массиве - 2. В дальнейшем с дисков изъятого сервера создаются посекторные образы и производится сборка виртуального массива.
На рабочих местах пользователей могут находиться оптические диски и USB-флэш накопители (карты памяти), тр3-плееры и т.п. Их осмотр можно провести с помощью ноутбука специалиста в процессе обыска.
Изъятие мобильных телефонов не отличается от изъятия других носителей информации. В памяти мобильных устройств связи (мобильные телефоны, смартфоны, планшетные компьютеры и т.п.) может находиться криминалистически
важная доказательственная и ориентирующая информация. Это может быть встроенная флэш-память, установленная в соответствующий разъем телефона micro SD-карта.
При изъятии мобильного телефона требуется указать в протоколе его модель, серийный номер (если имеется), IMEI (международный идентификатор мобильного оборудования). Если телефон находится во включенном состоянии, то можно попытаться узнать номер телефона с помощью соответствующей команды USSD (Unstructured Supplementary Service Data). В протоколе указывается номер ICCID (Integrated Circuit CardId) SIM (Subscriber Identification Module)-карты поставщика услуг подвижной мобильной связи и его наименование. Полезным может оказаться выявление PIN-кода (Personal Identification Number) для дальнейшего исследования памяти SIM-карты.
В исключительных случаях изъятый телефон можно не выключать для возможности сохранения текущего состояния памяти. При транспортировке его к месту исследования используется «сумка Фарадея» для блокирования соединения телефона с базовой станцией мобильного оператора.
Федеральным законом от 28 июля 2012 г. № 143-Ф3 «О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации» в ст. 182 Уголовно-процессуального кодекса РФ (основания и порядок производства обыска) внесена ч. 9.1, регламентирующая копирование информации с изымаемых электронных носителей законному владельцу по его ходатайству.
Согласно ч. 9.1 ст. 182 УПК РФ по ходатайству законного владельца изымаемых электронных носителей информации или обладателя содержащейся на них информации специалистом, участвующим в обыске, в присутствии понятых с изымаемых электронных носителей информации осуществляется копирование информации на другие электронные носители, предоставленные законным владельцем изымаемых электронных носителей информации или обладателем содержащейся на них информации. При производстве обыска не допускается копирование информации, если это может воспрепятствовать расследованию преступления либо, по заявлению специалиста, повлечь за собой утрату или изменение информации. Электронные носители информации, содержащие скопированную информацию, передаются законному владельцу изымаемых электронных
носителей информации или обладателю содержащейся на них информации. Об осуществлении копирования информации и о передаче электронных носителей, содержащих скопированную информацию, в протоколе делается запись. При копировании данных следует также обеспечить невозможность изменения или уничтожения исследуемых данных. Для этого необходимо сначала подключить электронный носитель, предоставленный для копирования файлов законным владельцем изымаемых электронных носителей информации, с возможностью записи. После этого подключается оригинальный носитель без возможности записи в файловую систему и с него производится копирование. Такую процедуру нужно выполнять на переносном компьютере специалиста. Описание процедуры заносится в протокол.
Осмотр изъятых электронных носителей при возможности необходимо проводить в кратчайшие сроки после окончания обыска, поскольку обнаруженная в ходе осмотра электронных носителей информация может прояснить, каким образом была организована преступная деятельность, и использоваться в ходе допросов фигурантов по расследуемому уголовному делу.
Список использованной литературы
1. Задерако, С. В. Особенности расследования корыстных преступлений в сфере строительства, связанных с фальсификацией проектно-сметной и отчетной документации [Текст] : дис. ... канд. юрид. наук : 12.00.12 / Задерако Сергей Викторович. - Ростов н/Д., 2013. - 210 с.
2. Казначей, И. В. Проблемные аспекты изъятия с участием специалиста электронных носителей информации при производстве по уголовным делам [Текст] / И. В. Казначей // Судебная экспертиза. - Волгоград : Волгоградская академия МВД России, 2013. - № 2 (34).
3. Собр. законодательства Рос. Федерации [Текст]. - 2012. - № 31, ст. 4322.
4. Шеховцова, Л. С. Об участии специалиста при производстве обыска, сопряженного с изъятием электронного носителя информации [Текст] / Л. С. Шеховцова // Раскрытие и расследование преступлений: наука, практика, опыт : сб. науч. статей преподавателей и адъюнктов кафедр криминалистики Московского университета МВД России имени В. Я. Кикотя. - Тула : Тульский государственный ун-т, 2015.