Мудрый Юрист

Использование специальных знаний при работе с электронными следами

Скобелин Сергей Юрьевич, исполняющий обязанности заведующего кафедрой криминалистики Академии Следственного комитета Российской Федерации, кандидат юридических наук, доцент.

В статье раскрываются современные возможности раскрытия и расследования преступлений с помощью оставленных в киберпространстве электронных следов. Описываются рекомендации по обнаружению, фиксации, изъятию и исследованию информации, содержащейся в памяти электронных устройств.

Ключевые слова: электронные следы, мобильные устройства, осмотр, обыск, назначение экспертизы.

Use of special knowledge in work with electronic trails

S.Y. Skobelin

Skobelin Sergej Yur'evich, acting head of the Chair of Criminal Investigative Technique of the Academy of the Investigative Committee of Russia, candidate of juridical sciences, assistant professor.

The article describes the contemporary possibilities of detection and investigation of crimes with the help of left in cyberspace electronic footprints. Describes recommendations on finding, fixing, seizure and investigation of the information contained in the memory of the electronic devices.

Key words: electronic traces, mobile devices, inspection, search, examination appointment.

Судебно-следственная практика свидетельствует о высоком удельном весе раскрытия и усиления доказательственной базы в ходе расследования преступлений за счет так называемых электронных (виртуальных) следов, т.е. информации, содержащейся в электронных устройствах <1>.

<1> Волеводз А.Г. Противодействие компьютерным преступлениям. М., 2002. С. 159 - 160; Смушкин А.Б. Виртуальные следы в криминалистике // Законность. 2012. N 8. С. 43.

Электронные устройства (телефоны, смартфоны, компьютеры, портативные устройства GPS, цифровые фотоаппараты, видеорегистраторы, платежные системы <2> и пр.) все чаще используются при подготовке, совершении и сокрытии данных преступлений. Информация о преступном событии порой фиксируется на цифровые устройства помимо воли лиц, его совершающих. Поэтому такая информация, хранящаяся в памяти данных устройств, может иметь для следователя важное доказательственное или ориентирующее значение, выполняет как диагностические, так и идентификационные задачи. В связи с этим актуален вопрос, связанный с обнаружением, фиксацией, изъятием и исследованием информации, содержащейся в памяти таких устройств, а также соблюдением прав граждан на неприкосновенность частной жизни, тайну переписки <3>.

<2> Олиндер Н.В. Типичные способы совершения преступлений с использованием электронных платежных средств и систем // Эксперт-криминалист. 2014. N 1. С. 13.
<3> Бычков В.В. Соблюдение прав граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений при проверке сообщений о преступлениях и в ходе их расследования // Российский следователь. 2013. N 24. С. 12.

Федеральным законом от 28 июля 2012 г. N 143-ФЗ электронные носители информации включены в уголовно-процессуальный закон России как новый вид вещественных доказательств <4>. Однако, чтобы полученная информация и сами устройства стали таковыми и были допустимыми доказательствами, требуется корректная работа с ними, исключающая возможность потери либо, наоборот, привнесения внешней информации в их память. Электронные носители информации высокотехнологичны, и для работы с ними необходимо участие специалиста, так как внешнего осмотра и получения той или иной информации недостаточно, такая информация может быть тщательно завуалирована либо удалена. В настоящее время правоохранительные органы обеспечены специальной высокотехнологичной криминалистической техникой, позволяющей извлекать полную информацию (включая удаленную) из памяти названных мобильных устройств, а также электронных накопителей (карт памяти, сим-карт и др.) участников уголовного процесса как в ходе проверки сообщений о преступлениях, так и в ходе их расследования.

<4> Федеральный закон от 28 июля 2012 г. N 143-ФЗ "О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации" // Официальный интернет-портал правовой информации. URL: http://www.pravo.gov.ru, 30.07.2012.

К такой технике относятся: универсальное устройство извлечения судебной информации (UFED - Universal Forensic Extraction Device), мобильный криминалист, XRY, MOBILedit, Тарантула и др.). При этом данная криминалистическая техника позволяет работать практически с любой моделью мобильных устройств, в том числе с поврежденными устройствами, планшетными компьютерами на основе любой операционной системы, навигаторами.

Особенность использования данных устройств заключается в том, что извлечению и систематизации с построением структурированного отчета подлежат и удаленные данные, устройства позволяют войти в систему в обход (либо распознавая) паролей и логинов, работать с мобильными устройствами без аккумулятора либо отдельно с сим-картой.

Исследование практики применения универсального устройства извлечения судебной информации (UFED), проведенное сотрудниками Академии Следственного комитета Российской Федерации, показало высокую эффективность использования данного устройства в получении интересующей следствие информации.

С помощью данного комплекса в рамках следственного осмотра предмета с участием специалиста (ч. 2 ст. 176 УПК РФ) либо в процессе назначенной компьютерно-технической (информационно-аналитической) экспертизы (ст. 195 УПК РФ) можно получить информацию о телефоне (IMEI/ESN); сим-карте (ICCID и IMSI); вызовах, в том числе удаленных (время, имена, фото); об использовании интернет-браузера; закладках интернет-сайтов; файлах Cookie; записях телефонной книги; SMS, MMS и голосовых сообщениях; сообщениях чатов и электронной почты; изображениях; видео- и аудиофайлах; местоположении (сети WiFi, ретрансляторы мобильной связи и навигационные приложения), маршрутах перемещения (можно просматривать в Google Earth и Google Maps), GPS-координатах использования мобильного устройства; введенных в GPS устройствах (навигаторы) местоположения, координатах, избранных расположениях; паролях, журналах вызовов, текстовых сообщениях, контактах в электронной почте, мессенджерах, записях в календаре, медиафайлах, геотегах, приложениях, служебных данных (список IMSI, данные последней сим-карты, коды блокировки); данных журнала "Lifeblog", содержащего список действий с телефоном; переписке в различных социальных сетях ("Вконтакте", "Одноклассники", "Twitter", "Facebook"), с помощью таких приложений, как Skype, и др.

Извлеченная из мобильного устройства информация может:

<5> Багмет А.М., Скобелин С.Ю. Извлечение данных из электронных устройств как самостоятельное следственное действие // Право и кибербезопасность. 2013. N 2. С. 24.

Мобильные устройства и другие носители электронных следов изымаются при производстве таких следственных действий, как: осмотр места происшествия (ст. 176 УПК РФ); осмотр трупа (ст. 178 УПК РФ); обыск (ст. 182 УПК РФ); выемка (ст. 183 УПК РФ); личный обыск подозреваемого, обвиняемого (ст. 93, 184 УПК РФ).

При проведении указанных следственных действий в зависимости от характера и способа совершенного преступления, условий следственной ситуации следует обращать внимание на место нахождения и возможного сокрытия мобильных устройств и в особенности извлекаемых из них накопителей (например, сим-карт), а также на поведение субъектов, пытающихся воспользоваться мобильным устройством для оказания противодействия расследованию.

При осмотре места происшествия по уголовным делам о неочевидных убийствах изымаются все мобильные устройства и сим-карты, находящиеся при пострадавшем, для установления, в частности, его последних контактов, идентификации неопознанного трупа. Кроме того, мобильные устройства возможно обнаружить в ходе осмотра не являющихся местом происшествия участков местности, жилища потерпевшего, иных помещений, где он находился перед смертью.

В случае задержания подозреваемого в убийстве производится его личный обыск, обнаруженные при этом мобильные устройства также изымаются. Кроме того, рекомендуется с этой же целью произвести обыски в местах его жизнедеятельности (учебы, работы, проживания и др.). Следует иметь в виду, что данные лица также могут принять меры к сокрытию или уничтожению мобильных устройств либо электронных накопителей (например, сим-карт).

Обыск целесообразно проводить с применением соответствующих технических средств (приборов нелинейной локации), позволяющих обнаружить мобильные устройства и электронные накопители в помещениях, автотранспорте, а также при досмотре людей.

При производстве обыска или выемки электронные носители информации изымаются с участием специалиста (ч. 9.1 ст. 182, ч. 3.1 ст. 183 УПК РФ). В качестве специалиста в данном случае может приглашаться любое лицо, обладающее познаниями в области электронных устройств (консультанты специализированных магазинов, программисты).

Изъятые в ходе следственного действия мобильные устройства, планшетные компьютеры, навигаторы и иные носители электронных следов упаковываются и опечатываются таким образом, чтобы обеспечить сохранность имеющейся в цифровой памяти информации. Для этого опечатываются все порты, слоты, входы и выходы электронного устройства, что удостоверяется подписями следователя, специалиста и понятых.

В связи с современными возможностями удаленного доступа к памяти мобильных устройств и находящихся в них электронных накопителей с целью удаления собственниками устройств через операторов связи информации необходимо сразу же при обнаружении устройства помещать его в специальный чехол, поставляемый в комплекте с UFED, - "Мешок Фарадея", который блокирует доступ к устройству.

В протоколе обыска (выемки) должно быть указано, в каком месте и при каких обстоятельствах были обнаружены мобильные устройства, выданы они добровольно или изъяты принудительно. Все изымаемые устройства должны быть перечислены с точным указанием их количества, индивидуальных признаков и стоимости. Если в ходе обыска были предприняты попытки уничтожить или спрятать мобильные устройства (стереть информацию, хранящуюся в их памяти), то об этом в протоколе делается соответствующая запись и указываются принятые меры. Также соответствующая запись делается в случаях, если по ходатайству законного владельца изымаемых электронных носителей информации с разрешения следователя осуществляется копирование информации.

Для исследования электронных следов используются специальные знания в форме получения заключения специалиста или проведения компьютерно-технической экспертизы.

На разрешение эксперту ставятся, как правило, вопросы общего диагностического характера о наличии в устройстве (включая внешние карты памяти и сим-карты) каких либо файлов (текстовых, графических, музыкальных, видео-, фотофайлов, СМС-сообщений и др.), и эксперт извлекает весь физический дамп памяти.

Если же следователя интересует какая-либо конкретная информация (к примеру, подозреваемый, свидетель либо потерпевший указывают на то, что развратные действия субъекта фотографировались, однако фотографии из телефона были удалены), то задаются соответствующие вопросы с указанием временного интервала удаления файлов.

Для использования такой техники следователь готовит поручение специалисту о производстве исследования мобильного устройства с помощью UFED, имеющему соответствующую квалификацию. Специалист производит исследование мобильного устройства с применением UFED с извлечением, декодированием значимой для дела информации.

Извлеченные на отдельный компьютер или флэш-карту данные анализируются с помощью специальной программы UFED Physical Analyzer, которая позволяет создать подробный структурированный отчет с интересующей следствие информацией.

Полученный с использованием UFED и распечатанный отчет об извлеченных данных приобщается к материалам уголовного дела в полном объеме. Электронное устройство и (или) иной носитель электронных следов на основании постановления следователя также приобщаются к материалам уголовного дела как вещественное доказательство, хранятся в опечатанном виде в условиях, исключающих возможность ознакомления с ними посторонних лиц и обеспечивающих их сохранность.

В целях подтверждения получения искомой информации именно с данного мобильного устройства с помощью UFED необходимо фиксировать всю процедуру получения информации с помощью видео- или фотосъемки, составлять фототаблицу, которую прилагать к заключению специалиста, эксперта или к протоколу осмотра, в ходе которого специалист применял указанный прибор.

Литература

  1. Багмет А.М., Скобелин С.Ю. Извлечение данных из электронных устройств как самостоятельное следственное действие // Право и кибербезопасность. 2013. N 2. С. 24.
  2. Бычков В.В. Соблюдение прав граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений при проверке сообщений о преступлениях и в ходе их расследования // Российский следователь. 2013. N 24. С. 12.
  3. Волеводз А.Г. Противодействие компьютерным преступлениям. М., 2002. С. 159.
  4. Олиндер Н.В. Типичные способы совершения преступлений с использованием электронных платежных средств и систем // Эксперт-криминалист. 2014. N 1. С. 13.
  5. Смушкин А.Б. Виртуальные следы в криминалистике // Законность. 2012. N 8. С. 43.
  6. Федеральный закон от 28 июля 2012 г. N 143-ФЗ "О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации" // Официальный интернет-портал правовой информации. URL: http://www.pravo.gov.ru, 30.07.2012.