Виртуальные следы в криминалистике (А. Смушкин, "Законность", N 8, август 2012 г.)

Виртуальные следы в криминалистике

Новые способы, объекты и средства совершения преступлений требуют своевременного реагирования со стороны учёных-криминалистов. Всё чаще компьютерные и иные цифровые электронные устройства становятся средством совершения преступлений.

Подобные преступления оставляют специфическую следовую картину. Кроме непосредственно материальных или идеальных следов, следы действий остаются также в памяти электронных устройств. Поэтому некоторые авторы, основываясь на нововведениях научно-технического прогресса, предлагают дополнить классическую классификацию следов в трасологии в области дифференцирования их в зависимости от их внешнего отображения специфической группой виртуальных следов*(1).

Это мнение заслуживает внимания. Виртуальные следы представляют собой следы совершения любых действий (включения, создания, открывания, активации, внесения изменений, удаления) в информационном пространстве компьютерных и иных цифровых устройств, их систем и сетей. В. Мещеряков под виртуальными следами понимает "любое изменение состояния автоматизированной информационной системы, связанное с событием преступления и зафиксированное в виде компьютерной информации. Данные следы занимают условно промежуточную позицию между материальными и идеальными следами"*(2). Однако некоторые авторы возражают против применения термина "виртуальные следы", мотивируя свою позицию тем, что "понятие "виртуальный" - устоявшийся термин, применяющийся в квантовой теории поля для характеристики частиц, находящихся в промежуточном состоянии или в состоянии неопределенности (координаты которых и сам факт их существования в данный момент времени можно назвать лишь с определенной долей вероятности). В таком смысле будет понят термин "виртуальный след" любым человеком, знакомым с этим понятием"*(3). Не отрицая указанного значения этого термина, следует всё же отметить, что, кроме специалистов-физиков, в основной массе большинство людей (в том числе учёных-криминалистов и практиков - работников правоохранительных органов) термин "виртуальный" применяют и понимают именно в отношении компьютерного, цифрового пространства. Именно в этом понимании используется термин "виртуальность" во многих сферах современной жизни.

Также представляется неверным использование предлагаемого В. Милашевым термина "бинарные следы" как "результаты логических и математических операций с двоичным кодом"*(4). Как справедливо отметил Н. Лыткин, "изменения в компьютерной информации, являющиеся следами преступления, в подавляющем большинстве случаев доступны восприятию не в виде двоичных кодов (что собственно и представляет собой бинарный след), а в преобразованном виде: записи в файле реестра, изменении атрибута файла, электронном почтовом сообщении"*(5). Однако не можем мы принять и предлагаемый самим Н. Лыткиным термин "компьютерно-технические следы"*(6). Рассматриваемая категория следов может оставаться не только в компьютерных, но и в иных цифровых устройствах (в мобильных телефонах и коммуникаторах, цифровых фото- и видеокамерах и т.д.). Мы солидарны с В. Агибаловым во мнении, что в результате электронно-цифрового отражения на материальном носителе фиксируется лишь образ, состоящий из цифровых значений параметров формальной математической модели наблюдаемого реального физического явления*(7).

Интересную классификацию виртуальных следов предложил А. Волеводз: одним из оснований для классификации может являться непосредственный физический носитель "виртуального следа". На таком основании можно выделить:

1) следы на жёстком диске (винчестере), магнитной ленте (стримере), оптическом диске (CD, DVD), на дискете (флоппи диске);

2) следы в оперативных запоминающих устройствах (ОЗУ) ЭВМ;

3) следы в ОЗУ периферийных устройств (лазерного принтера, например);

4) следы в ОЗУ компьютерных устройств связи и сетевых устройств;

5) следы в проводных, радио-оптических и других электромагнитных системах и сетях связи*(8).

А. Семенов дополнил эту классификацию классификацией виртуальных следов по месту их нахождения на 2 группы:

1) следы на компьютере преступника;

2) следы на "компьютере-жертве".

На "компьютере-жертве" это:

а) таблица расширения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы);

6) системный реестр операционной системы;

в) отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации;

г) файлы и каталоги (папки) хранения входящей электронной почты и прикреплённых исполняемых файлов, конфигурации почтовой программы;

д) файлы конфигурации программ удалённого соединения компьютера с информационной сетью*(9).

Заслуживает также внимания предложенная Л. Красновой классификация виртуальных следов по механизму следообразования на первичные и вторичные. Первичные следы являются следствием непосредственного воздействия пользователя с использованием какой-либо информационной технологии, а вторичные - следствием воздействия технологических процессов без участия человека и вне его желания*(10).

Любые действия с компьютерными или иными программируемыми устройствами (мобильные телефоны, МР3-плееры, I-Phone, I-Pad и т.д.) получают своё непосредственное отражение в их памяти. Наиболее показательны в этом плане следы в памяти компьютера:

1) включение, выключение, различные операции с содержимым памяти компьютера (отображаются в журналах администрирования, журналах безопасности и т.д.);

2) действия с наиболее важными для работы компьютера программами (установка, удаление и т.д.) отражаются в реестре компьютера (reg-файлах);

3) сведения о работе в сети Интернет, локальных и иных сетях (аккумулируются в так называемых log-файлах);

4) операции с файлами (отражаются в их свойствах; например, у файлов Microsoft Office в свойствах отражаются время создания, последнего открытия, изменения файла и т.д.).

Виртуальные следы могут послужить доказательствами незаконного проникновения в память компьютера или иного устройства (взлома), доказательствами возможного совершения или планирования определённого преступления конкретным лицом или группой лиц (например, при наличии доступа к терминалу только у определённого лица или группы лиц). Они могут указывать на уровень компьютерной грамотности злоумышленника.

"Компьютерным" преступлениям свойственна предварительная подготовка, написание или приобретение специальных программ для взлома, подготовка и внедрение "троянских" программ, поиск паролей или определение способов беспарольного входа и т.д. При этом написание или тестирование подобных программ будет оставлять виртуальные следы в памяти компьютера злоумышленника.

Способ проникновения в память компьютера или иного устройства (подбор пароля простым перебором или с помощью специальных компьютерных программ, активизация "троянов", позволяющих считать пароли из памяти компьютера или включить беспарольный доступ), а также способ сокрытия следов оставляют следы в памяти компьютера жертвы.

Для всех этих действий могут использоваться программы различного уровня сложности: "стандартные" - которые составлены максимально просто и которые легко найти в сети Интернет или подпольной продаже; "приспособленные" программы - переделанные самим злоумышленником; самостоятельно написанные злоумышленником программы.

В зависимости от сложности и распространённости программ они могут оставить в памяти устройства различные виртуальные следы, позволяющие идентифицировать программу, способ взлома и сокрытия. Обладая подобной информацией, можно сделать вывод о профессиональном уровне злоумышленника.

Определение круга лиц, имеющих доступ к компьютерному устройству и достаточный уровень профессионализма, ограничивает круг подозреваемых.

Каким же образом можно фиксировать виртуальные следы для использования в процессе расследования и доказывания? Фиксация виртуальных следов представляется разумной в следующем порядке:

1) описание в протоколе следственного действия. В протоколе подлежат отражению следующие сведения: в памяти какого устройства обнаружены виртуальные следы; кому принадлежит устройство; имеет ли устройство выход в сеть Интернет, иные телекоммуникационные или локальные сети; какая оперативная система функционирует на устройстве (Windows XP, Wista, Linux - на компьютере, Windows mobile, Android, Symbian на мобильном телефоне, коммуникаторе и т.д.); в каких файлах обнаружены следы вмешательства, какие именно; когда файл был создан, изменён, открывался последний раз. Во избежание изучения каждого файла компьютера (количество файлов может измеряться сотнями тысяч) к проведению следственного действия необходимо привлекать специалиста (программиста, системного администратора и т.д.);

2) фотографирование экрана с выведенной информацией о свойствах исследуемых файлов, журналов администрирования, служб безопасности и т.д. Подвидом этого варианта фиксации можно назвать "снимок экрана" (клавиша "Print screen" клавиатуры) с его последующей распечаткой;

3) изъятие для исследования всего объекта с виртуальными следами.

Таким образом, представляется, что виртуальные следы могут обоснованно занять место в классификации следов, используемой в криминалистике.

А. Смушкин,

доцент кафедры криминалистического

обеспечения расследования преступлений

Саратовской государственной юридической академии,

кандидат юридических наук, доцент

"Законность", N 8, август 2012 г.

-------------------------------------------------------------------------

*(1) См.: Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Изд-во Воронеж. гос. ун-та, 2002, с. 94-119; Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис. ... канд. юрид. наук. Воронеж, 2005, с. 15-17; Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дис. ... канд. юрид. наук. Министерство внутренних дел Российской Федерации. Омская академия. Омск, 2008, с. 13.

*(2) Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. Воронеж, 2001, с. 33.

*(3) Черкасов В.Н., Нехорошев А.Б. Кто живет в "киберпространстве"? - Управление защитой информации, 2003, т. 7, N 4, с. 468.

*(4) Милашев В.А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: Автореф. дис. ... канд. юрид. наук. М., 2004, с. 18.

*(5) Лыткин Н.Н. Использование компьютерно-технических следов в расследовании преступлений против собственности: Автореф. дис. ... канд. юрид. наук. М., 2007, с. 11.

*(6) См.: Там же, с. 12.

*(7) См.: Агибалов В.Ю. Виртуальные следы в криминалистике и уголовном процессе: Автореф. дис. ... канд. юрид. наук. Воронеж: ГОУ ВПО "Воронежский государственный университет", 2010, с. 13.

*(8) См.: Волеводз А.Г. Противодействие компьютерным преступлениям. М., 2002, с. 159-160.

*(9) См.: Семенов А.Ю. Некоторые аспекты выявления, изъятия и исследования следов, возникающих при совершении преступлений в сфере компьютерной информации. - Сибирский Юридический Вестник, 2004, N 1.

*(10) См.: Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис. ... канд. юрид. наук. Воронеж, 2005, с. 17.