Наша компания оказывает помощь по написанию статей по предмету Уголовный процесс. Используем только актуальное законодательство, проекты федеральных законов, новейшую научную литературу и судебную практику. Предлагаем вам воспользоваться нашими услугами. На все выполняемые работы даются гарантии
Вернуться к списку статей по юриспруденции
ВИРТУАЛЬНЫЕ СЛЕДЫ В КРИМИНАЛИСТИКЕ
А.Б. СМУШКИН
Смушкин Александр Борисович, доцент кафедры криминалистического обеспечения расследования преступлений ФГБОУ ВПО "Саратовская государственная юридическая академия", кандидат юридических наук, доцент.
Новые способы, объекты и средства совершения преступлений требуют своевременного реагирования со стороны ученых-криминалистов. Все чаще компьютерные и иные цифровые электронные устройства становятся средством совершения преступлений.
Подобные преступления оставляют специфическую следовую картину. Кроме непосредственно материальных или идеальных следов, следы действий остаются также в памяти электронных устройств. Поэтому некоторые авторы, основываясь на нововведениях научно-технического прогресса, предлагают дополнить классическую классификацию следов в трасологии в области дифференцирования их в зависимости от их внешнего отображения специфической группой виртуальных следов <1>.
--------------------------------
<1> См.: Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Изд-во Воронеж. гос. ун-та, 2002. С. 94 - 119; Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис. ... канд. юрид. наук. Воронеж, 2005. С. 15 - 17; Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дис. ... канд. юрид. наук / Министерство внутренних дел Российской Федерации. Омская академия. Омск, 2008. С. 13.
Это мнение заслуживает внимания. Виртуальные следы представляют собой следы совершения любых действий (включения, создания, открывания, активации, внесения изменений, удаления) в информационном пространстве компьютерных и иных цифровых устройств, их систем и сетей. В. Мещеряков под виртуальными следами понимает "любое изменение состояния автоматизированной информационной системы, связанное с событием преступления и зафиксированное в виде компьютерной информации. Данные следы занимают условно промежуточную позицию между материальными и идеальными следами" <2>. Однако некоторые авторы возражают против применения термина "виртуальные следы", мотивируя свою позицию тем, что "понятие "виртуальный" - устоявшийся термин, применяющийся в квантовой теории поля для характеристики частиц, находящихся в промежуточном состоянии или в состоянии неопределенности (координаты которых и сам факт их существования в данный момент времени можно назвать лишь с определенной долей вероятности). В таком смысле будет понят термин "виртуальный след" любым человеком, знакомым с этим понятием" <3>. Не отрицая указанного значения этого термина, следует все же отметить, что, кроме специалистов-физиков, в основной массе большинство людей (в том числе ученых-криминалистов и практиков - работников правоохранительных органов) термин "виртуальный" применяют и понимают именно в отношении компьютерного, цифрового пространства. Именно в этом понимании используется термин "виртуальность" во многих сферах современной жизни.
--------------------------------
<2> Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. Воронеж, 2001. С. 33.
<3> Черкасов В.Н., Нехорошев А.Б. Кто живет в "киберпространстве"? Управление защитой информации. 2003. Т. 7. N 4. С. 468.
Также представляется неверным использование предлагаемого В. Милашевым термина "бинарные следы" как "результаты логических и математических операций с двоичным кодом" <4>. Как справедливо отметил Н. Лыткин, "изменения в компьютерной информации, являющиеся следами преступления, в подавляющем большинстве случаев доступны восприятию не в виде двоичных кодов (что собственно и представляет собой бинарный след), а в преобразованном виде: записи в файле реестра, изменении атрибута файла, электронном почтовом сообщении" <5>. Однако не можем мы принять и предлагаемый самим Н. Лыткиным термин "компьютерно-технические следы" <6>. Рассматриваемая категория следов может оставаться не только в компьютерных, но и в иных цифровых устройствах (в мобильных телефонах и коммуникаторах, цифровых фото- и видеокамерах и т.д.). Мы солидарны с В. Агибаловым во мнении, что в результате электронно-цифрового отражения на материальном носителе фиксируется лишь образ, состоящий из цифровых значений параметров формальной математической модели наблюдаемого реального физического явления <7>.
--------------------------------
<4> Милашев В.А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: Автореф. дис. ... канд. юрид. наук. М., 2004. С. 18.
<5> Лыткин Н.Н. Использование компьютерно-технических следов в расследовании преступлений против собственности: Автореф. дис. ... канд. юрид. наук. М., 2007. С. 11.
<6> См.: Там же. С. 12.
<7> См.: Агибалов В.Ю. Виртуальные следы в криминалистике и уголовном процессе: Автореф. дис. ... канд. юрид. наук. Воронеж: ГОУ ВПО "Воронежский государственный университет", 2010. С. 13.
Интересную классификацию виртуальных следов предложил А. Волеводз: одним из оснований для классификации может являться непосредственный физический носитель "виртуального следа". На таком основании можно выделить:
1) следы на жестком диске (винчестере), магнитной ленте (стримере), оптическом диске (CD, DVD), на дискете (флоппи диске);
2) следы в оперативных запоминающих устройствах (ОЗУ) ЭВМ;
3) следы в ОЗУ периферийных устройств (лазерного принтера, например);
4) следы в ОЗУ компьютерных устройств связи и сетевых устройств;
5) следы в проводных, радио-оптических и других электромагнитных системах и сетях связи <8>.
--------------------------------
<8> См.: Волеводз А.Г. Противодействие компьютерным преступлениям. М., 2002. С. 159 - 160.
А. Семенов дополнил эту классификацию классификацией виртуальных следов по месту их нахождения на 2 группы:
1) следы на компьютере преступника;
2) следы на "компьютере-жертве".
На "компьютере-жертве" это:
а) таблица расширения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы);
б) системный реестр операционной системы;
в) отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации;
г) файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы;
д) файлы конфигурации программ удаленного соединения компьютера с информационной сетью <9>.
--------------------------------
<9> См.: Семенов А.Ю. Некоторые аспекты выявления, изъятия и исследования следов, возникающих при совершении преступлений в сфере компьютерной информации // Сибирский юридический вестник. 2004. N 1.
Заслуживает также внимания предложенная Л. Красновой классификация виртуальных следов по механизму следообразования на первичные и вторичные. Первичные следы являются следствием непосредственного воздействия пользователя с использованием какой-либо информационной технологии, а вторичные - следствием воздействия технологических процессов без участия человека и вне его желания <10>.
--------------------------------
<10> См.: Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: Автореф. дис. ... канд. юрид. наук. Воронеж, 2005. С. 17.
Любые действия с компьютерными или иными программируемыми устройствами (мобильные телефоны, МР3-плееры, iPhone, iPad и т.д.) получают свое непосредственное отражение в их памяти. Наиболее показательны в этом плане следы в памяти компьютера:
1) включение, выключение, различные операции с содержимым памяти компьютера (отображаются в журналах администрирования, журналах безопасности и т.д.);
2) действия с наиболее важными для работы компьютера программами (установка, удаление и т.д.) отражаются в реестре компьютера (reg-файлах);
3) сведения о работе в сети Интернет, локальных и иных сетях (аккумулируются в так называемых log-файлах);
4) операции с файлами (отражаются в их свойствах; например, у файлов Microsoft Office в свойствах отражаются время создания, последнего открытия, изменения файла и т.д.).
Виртуальные следы могут послужить доказательствами незаконного проникновения в память компьютера или иного устройства (взлома), доказательствами возможного совершения или планирования определенного преступления конкретным лицом или группой лиц (например, при наличии доступа к терминалу только у определенного лица или группы лиц). Они могут указывать на уровень компьютерной грамотности злоумышленника.
"Компьютерным" преступлениям свойственна предварительная подготовка, написание или приобретение специальных программ для взлома, подготовка и внедрение "троянских" программ, поиск паролей или определение способов беспарольного входа и т.д. При этом написание или тестирование подобных программ будет оставлять виртуальные следы в памяти компьютера злоумышленника.
Способ проникновения в память компьютера или иного устройства (подбор пароля простым перебором или с помощью специальных компьютерных программ, активизация "троянов", позволяющих считать пароли из памяти компьютера или включить беспарольный доступ), а также способ сокрытия следов оставляют следы в памяти компьютера жертвы.
Для всех этих действий могут использоваться программы различного уровня сложности: "стандартные" - которые составлены максимально просто и которые легко найти в сети Интернет или подпольной продаже; "приспособленные" программы - переделанные самим злоумышленником; самостоятельно написанные злоумышленником программы.
В зависимости от сложности и распространенности программ они могут оставить в памяти устройства различные виртуальные следы, позволяющие идентифицировать программу, способ взлома и сокрытия. Обладая подобной информацией, можно сделать вывод о профессиональном уровне злоумышленника.
Определение круга лиц, имеющих доступ к компьютерному устройству и достаточный уровень профессионализма, ограничивает круг подозреваемых.
Каким же образом можно фиксировать виртуальные следы для использования в процессе расследования и доказывания? Фиксация виртуальных следов представляется разумной в следующем порядке:
1) описание в протоколе следственного действия. В протоколе подлежат отражению следующие сведения: в памяти какого устройства обнаружены виртуальные следы; кому принадлежит устройство; имеет ли устройство выход в сеть Интернет, иные телекоммуникационные или локальные сети; какая оперативная система функционирует на устройстве (Windows XP, Wista, Linux - на компьютере, Windows mobile, Android, Symbian на мобильном телефоне, коммуникаторе и т.д.); в каких файлах обнаружены следы вмешательства, какие именно; когда файл был создан, изменен, открывался последний раз. Во избежание изучения каждого файла компьютера (количество файлов может измеряться сотнями тысяч) к проведению следственного действия необходимо привлекать специалиста (программиста, системного администратора и т.д.);
2) фотографирование экрана с выведенной информацией о свойствах исследуемых файлов, журналов администрирования, служб безопасности и т.д. Подвидом этого варианта фиксации можно назвать "снимок экрана" (клавиша "Print screen" клавиатуры) с его последующей распечаткой;
3) изъятие для исследования всего объекта с виртуальными следами.
Таким образом, представляется, что виртуальные следы могут обоснованно занять место в классификации следов, используемой в криминалистике.
Наша компания оказывает помощь по написанию курсовых и дипломных работ, а также магистерских диссертаций по предмету Уголовный процесс, предлагаем вам воспользоваться нашими услугами. На все работы дается гарантия.