А.Б. СМУШКИН

ВИРТУАЛЬНЫЕ СЛЕДЫ В КРИМИНАЛИСТИКЕ

 

Смушкин Александр Борисович, доцент кафедры криминалистического обеспечения расследования преступлений ФГБОУ ВПО "Саратовская государственная юридическая академия", кандидат юридических наук, доцент.

 

В статье обосновывается необходимость дополнения криминалистической классификации следов такой категорией, как "виртуальные следы". Анализируются точки зрения различных авторов на верное наименование этой категории, предлагается классификация виртуальных следов.

 

Ключевые слова: виртуальные следы, компьютерно-технические следы, цифровая техника, следовая картина, обнаружение, фиксация и изъятие виртуальных следов.

 

Virtual traces in criminalistics

A.B. Smushkin

 

The article substantiates the necessity of amplification of criminological classification traces of such category as "virtual traces". Analyzes the point of view of various authors to correct the name of the category, a classification of virtual tracks.

 

Key words: virtual tracks, computer-technical tracks, digital technique, tracking the picture, detection, fixation and confiscation of virtual tracks.

 

Новые способы, объекты и средства совершения преступлений требуют своевременного реагирования со стороны ученых-криминалистов. Все чаще компьютерные и иные цифровые электронные устройства становятся средством совершения преступлений.

 

Подобные преступления оставляют специфическую следовую картину. Кроме непосредственно материальных или идеальных следов, следы действий остаются также в памяти электронных устройств. Поэтому некоторые авторы, основываясь на нововведениях научно-технического прогресса, предлагают дополнить классическую классификацию следов в трасологии в области дифференцирования их в зависимости от их внешнего отображения специфической группой виртуальных следов <1>.

--------------------------------

<1> См.: Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Изд-во Воронеж. гос. ун-та, 2002. С. 94 - 119; Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис.... канд. юрид. наук. Воронеж, 2005. С. 15 - 17; Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дис.... канд. юрид. наук / Министерство внутренних дел Российской Федерации. Омская академия. Омск, 2008. С. 13.

 

Это мнение заслуживает внимания. Виртуальные следы представляют собой следы совершения любых действий (включения, создания, открывания, активации, внесения изменений, удаления) в информационном пространстве компьютерных и иных цифровых устройств, их систем и сетей. В. Мещеряков под виртуальными следами понимает "любое изменение состояния автоматизированной информационной системы, связанное с событием преступления и зафиксированное в виде компьютерной информации. Данные следы занимают условно промежуточную позицию между материальными и идеальными следами" <2>. Однако некоторые авторы возражают против применения термина "виртуальные следы", мотивируя свою позицию тем, что "понятие "виртуальный" - устоявшийся термин, применяющийся в квантовой теории поля для характеристики частиц, находящихся в промежуточном состоянии или в состоянии неопределенности (координаты которых и сам факт их существования в данный момент времени можно назвать лишь с определенной долей вероятности). В таком смысле будет понят термин "виртуальный след" любым человеком, знакомым с этим понятием" <3>. Не отрицая указанного значения этого термина, следует все же отметить, что, кроме специалистов-физиков, в основной массе большинство людей (в том числе ученых-криминалистов и практиков - работников правоохранительных органов) термин "виртуальный" применяют и понимают именно в отношении компьютерного, цифрового пространства. Именно в этом понимании используется термин "виртуальность" во многих сферах современной жизни.

--------------------------------

<2> Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. Воронеж, 2001. С. 33.

<3> Черкасов В.Н., Нехорошев А.Б. Кто живет в "киберпространстве"? Управление защитой информации. 2003. Т. 7. N 4. С. 468.

 

Также представляется неверным использование предлагаемого В. Милашевым термина "бинарные следы" как "результаты логических и математических операций с двоичным кодом" <4>. Как справедливо отметил Н. Лыткин, "изменения в компьютерной информации, являющиеся следами преступления, в подавляющем большинстве случаев доступны восприятию не в виде двоичных кодов (что собственно и представляет собой бинарный след), а в преобразованном виде: записи в файле реестра, изменении атрибута файла, электронном почтовом сообщении" <5>. Однако не можем мы принять и предлагаемый самим Н. Лыткиным термин "компьютерно-технические следы" <6>. Рассматриваемая категория следов может оставаться не только в компьютерных, но и в иных цифровых устройствах (в мобильных телефонах и коммуникаторах, цифровых фото- и видеокамерах и т.д.). Мы солидарны с В. Агибаловым во мнении, что в результате электронно-цифрового отражения на материальном носителе фиксируется лишь образ, состоящий из цифровых значений параметров формальной математической модели наблюдаемого реального физического явления <7>.

--------------------------------

<4> Милашев В.А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: Автореф. дис.... канд. юрид. наук. М., 2004. С. 18.

<5> Лыткин Н.Н. Использование компьютерно-технических следов в расследовании преступлений против собственности: Автореф. дис.... канд. юрид. наук. М., 2007. С. 11.

<6> См.: Там же. С. 12.

<7> См.: Агибалов В.Ю. Виртуальные следы в криминалистике и уголовном процессе: Автореф. дис.... канд. юрид. наук. Воронеж: ГОУ ВПО "Воронежский государственный университет", 2010. С. 13.

 

Интересную классификацию виртуальных следов предложил А. Волеводз: одним из оснований для классификации может являться непосредственный физический носитель "виртуального следа". На таком основании можно выделить:

1) следы на жестком диске (винчестере), магнитной ленте (стримере), оптическом диске (CD, DVD), на дискете (флоппи диске);

2) следы в оперативных запоминающих устройствах (ОЗУ) ЭВМ;

3) следы в ОЗУ периферийных устройств (лазерного принтера, например);

4) следы в ОЗУ компьютерных устройств связи и сетевых устройств;

5) следы в проводных, радио-оптических и других электромагнитных системах и сетях связи <8>.

--------------------------------

<8> См.: Волеводз А.Г. Противодействие компьютерным преступлениям. М., 2002. С. 159 - 160.

 

А. Семенов дополнил эту классификацию классификацией виртуальных следов по месту их нахождения на 2 группы:

1) следы на компьютере преступника;

2) следы на "компьютере-жертве".

На "компьютере-жертве" это:

а) таблица расширения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы);

б) системный реестр операционной системы;

в) отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации;

г) файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы;

д) файлы конфигурации программ удаленного соединения компьютера с информационной сетью <9>.

--------------------------------

<9> См.: Семенов А.Ю. Некоторые аспекты выявления, изъятия и исследования следов, возникающих при совершении преступлений в сфере компьютерной информации // Сибирский юридический вестник. 2004. N 1.

 

Заслуживает также внимания предложенная Л. Красновой классификация виртуальных следов по механизму следообразования на первичные и вторичные. Первичные следы являются следствием непосредственного воздействия пользователя с использованием какой-либо информационной технологии, а вторичные - следствием воздействия технологических процессов без участия человека и вне его желания <10>.

--------------------------------

<10> См.: Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис.... канд. юрид. наук. Воронеж, 2005. С. 17.

 

Любые действия с компьютерными или иными программируемыми устройствами (мобильные телефоны, МР3-плееры, iPhone, iPad и т.д.) получают свое непосредственное отражение в их памяти. Наиболее показательны в этом плане следы в памяти компьютера:

1) включение, выключение, различные операции с содержимым памяти компьютера (отображаются в журналах администрирования, журналах безопасности и т.д.);

2) действия с наиболее важными для работы компьютера программами (установка, удаление и т.д.) отражаются в реестре компьютера (reg-файлах);

3) сведения о работе в сети Интернет, локальных и иных сетях (аккумулируются в так называемых log-файлах);

4) операции с файлами (отражаются в их свойствах; например, у файлов Microsoft Office в свойствах отражаются время создания, последнего открытия, изменения файла и т.д.).

Виртуальные следы могут послужить доказательствами незаконного проникновения в память компьютера или иного устройства (взлома), доказательствами возможного совершения или планирования определенного преступления конкретным лицом или группой лиц (например, при наличии доступа к терминалу только у определенного лица или группы лиц). Они могут указывать на уровень компьютерной грамотности злоумышленника.

"Компьютерным" преступлениям свойственна предварительная подготовка, написание или приобретение специальных программ для взлома, подготовка и внедрение "троянских" программ, поиск паролей или определение способов беспарольного входа и т.д. При этом написание или тестирование подобных программ будет оставлять виртуальные следы в памяти компьютера злоумышленника.

Способ проникновения в память компьютера или иного устройства (подбор пароля простым перебором или с помощью специальных компьютерных программ, активизация "троянов", позволяющих считать пароли из памяти компьютера или включить беспарольный доступ), а также способ сокрытия следов оставляют следы в памяти компьютера жертвы.

Для всех этих действий могут использоваться программы различного уровня сложности: "стандартные" - которые составлены максимально просто и которые легко найти в сети Интернет или подпольной продаже; "приспособленные" программы - переделанные самим злоумышленником; самостоятельно написанные злоумышленником программы.

В зависимости от сложности и распространенности программ они могут оставить в памяти устройства различные виртуальные следы, позволяющие идентифицировать программу, способ взлома и сокрытия. Обладая подобной информацией, можно сделать вывод о профессиональном уровне злоумышленника.

Определение круга лиц, имеющих доступ к компьютерному устройству и достаточный уровень профессионализма, ограничивает круг подозреваемых.

Каким же образом можно фиксировать виртуальные следы для использования в процессе расследования и доказывания? Фиксация виртуальных следов представляется разумной в следующем порядке:

1) описание в протоколе следственного действия. В протоколе подлежат отражению следующие сведения: в памяти какого устройства обнаружены виртуальные следы; кому принадлежит устройство; имеет ли устройство выход в сеть Интернет, иные телекоммуникационные или локальные сети; какая оперативная система функционирует на устройстве (Windows XP, Wista, Linux - на компьютере, Windows mobile, Android, Symbian на мобильном телефоне, коммуникаторе и т.д.); в каких файлах обнаружены следы вмешательства, какие именно; когда файл был создан, изменен, открывался последний раз. Во избежание изучения каждого файла компьютера (количество файлов может измеряться сотнями тысяч) к проведению следственного действия необходимо привлекать специалиста (программиста, системного администратора и т.д.);

2) фотографирование экрана с выведенной информацией о свойствах исследуемых файлов, журналов администрирования, служб безопасности и т.д. Подвидом этого варианта фиксации можно назвать "снимок экрана" (клавиша "Print screen" клавиатуры) с его последующей распечаткой;

3) изъятие для исследования всего объекта с виртуальными следами.

Таким образом, представляется, что виртуальные следы могут обоснованно занять место в классификации следов, используемой в криминалистике.

 

Пристатейный библиографический список

 

1. Агибалов В.Ю. Виртуальные следы в криминалистике и уголовном процессе: Автореф. дис.... канд. юрид. наук. Воронеж, ГОУ ВПО "Воронежский государственный университет", 2010.

2. Волеводз А.Г. Противодействие компьютерным преступлениям. М., 2002.

3. Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис.... канд. юрид. наук. Воронеж, 2005.

4. Лыткин Н.Н. Использование компьютерно-технических следов в расследовании преступлений против собственности: Автореф. дис.... канд. юрид. наук. М., 2007.

5. Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. Воронеж, 2001.

6. Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Изд-во Воронеж. гос. ун-та, 2002.

7. Милашев В.А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: Автореф. дис.... канд. юрид. наук. М., 2004.

8. Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дис.... канд. юрид. наук. Министерство внутренних дел Российской Федерации. Омская академия. Омск, 2008.

9. Семенов А.Ю. Некоторые аспекты выявления, изъятия и исследования следов, возникающих при совершении преступлений в сфере компьютерной информации // Сибирский юридический вестник. 2004. N 1.

10. Черкасов В.Н., Нехорошев А.Б. Кто живет в "киберпространстве"? // Управление защитой информации. 2003. Т. 7. N 4.

 

 

 

Смушкин А.Б. Виртуальные следы в криминалистике // Законность. 2012. N 8. С. 43 - 45.