Материал: 422

воссозданием обстановки, предшествующей совершению преступлений, то есть уничтожению оставленных следов (следов рук, микрообъектов и т. д.).

При опосредованном (удаленном) доступе сокрытие заключается в самом способе совершения преступления, который затрудняет обнаружение неправомерного доступа, распространения вредоносных программ. Это достигается использованием чужих паролей, идентификационных и биометрических средств доступа и др. [24, с. 35].

Таким образом, можно констатировать, что способ совершения преступления среди данных, составляющих криминалистическую характеристику, являются особо значимым, так как имеет разветвленные корреляционные связи, позволяющие определить комплекс других обстоятельств противоправного деяния.

Существует прямая зависимость количества (множественности) способов совершения преступлений в сфере информационных технологий от совершенствования этих самых технологий. Их развитие происходит параллельно, в связи с чем не представляется возможным составить закрытый перечень способов.

§ 3. Специфика механизма следообразования при совершении преступлений в сфере информационных технологий

Способы совершения отдельного преступления в сфере информационных технологий определяют специфику механизма следообразования.

Под механизмом следообразования понимается «специфическая конкретная форма протекания процесса, конечная фаза которого представляет собой образование следа-отражения» [15, с. 118].

Элементами механизма являются объекты следообразования: следообразующий, следовоспринимающий и вещество следа.

Следы совершения преступления в сфере информационных технологий нечасто остаются в виде изменений внешней среды. В основном они не рассматриваются современной трасологией, так как обычно носят информационный характер, то есть являются изменением в компьютерной информации, представляя форму ее модификации, копирования, уничтожения, блокирования.

Электронная информация, как правило, обезличена и не содержит однозначных данных о ее авторстве, так как не оставляет о себе подобных данных. Тем не менее, файл с электронной информацией в большинстве случаев содержит метаданные, в которых может быть указан, помимо даты создания, изменения, и автор документа, однако эти данные невозможно доподлинно проверить.

В криминалистическом учении традиционно принято делить следы на две основные группы: материальные, то есть зафиксированные путем изменения внешней среды, и идеальные – оставшиеся в памяти людей (потерпевшего, преступника, свидетелей). Однако П. В. Мочагин предлагает к двум традиционным формам следообразования добавить еще одну – в виртуально-информаци- онной и технико-компьютерной сфере [70, с. 98]. Такие следы предложено именовать виртуальными. В. А. Мещеряков трактует их как любое изменение состояния автоматизированной информационной системы, связанное с событием преступления и зафиксированное в виде компьютерной информации [35, с. 25].

26

Данная позиция является неоднозначной, так как другие авторы не выделяют следы в сфере компьютерной информации в отдельную группу, аргументируя свою позицию тем, что это будет способствовать загромождению разработанных криминалистикой положений о рассматриваемых проблемах [63, с. 287]. Они считают, что такие следы нужно идентифицировать в качестве материальных, но представляющих особую форму, – следов-отображений, зафиксированных на электронных цифровых носителях [56, с. 3]. А. Б. Коновалова вслед за другими авторами предлагает терминологически обозначить такую категорию следов как «бинарные следы», отображающие результаты действий с двоичным кодом электронно-вычислительной машины [65, с. 113].

Вопрос остается достаточно спорным, так как специфика образования, обработки и хранения компьютерной информации предусматривает использование компьютерно-технических средств, которые являются материальными. Таким образом, на носителях указанных средств возможно материально фиксированное отображение компьютерной информации. Поэтому в качестве следов преступлений в сфере компьютерной информации можно рассматривать электронные сигналы или команды, отправленные преступником со своего компьютера. Эти сигналы имеют также материально фиксированное выражение (IP-адрес, МАС-ад- рес – см. подробнее об этих понятиях ниже), что позволяет их с большой точностью идентифицировать.

Однако, дефиниция «виртуальные следы» уже вошла в обиход наряду с материальными и идеальными следами. Так, согласно проведенному О. Ю. Введенской исследованию, преступность в сфере компьютерной информации оставляет за собой: виртуальные следы в виде кэш-файлов, IP-адресов, журналов историй и т. п. – по мнению 27 % опрошенных представителей правоохранительных структур; материальные следы – по мнению 24 %; идеальные следы в виде показаний потерпевших, свидетелей, подозреваемых (обвиняемых) – по мнению 22 % [52, с. 210].

Принимая во внимание вышеизложенное, целесообразно следы преступ-

лений, совершаемых в сфере информационных технологий, разделить на два типа: традиционные следы (материальные, идеальные) и нетрадиционные – компьютерно-технические.

К традиционным материальным следам можно отнести следы на самой вычислительной технике: следы пальцев рук, микрочастицы на клавиатуре, иных составных частях компьютера.

Традиционные идеальные следы представляют собой запечатление события преступления и элементов механизма его совершения в памяти и сознании. Такие следы обусловлены психофизиологическими процессами организма человека и имеют вид мысленных образов о совершенном преступлении или его фрагментах [15, с. 199].

Термин «компьютерно-технические следы» в лексиконе криминалистики появился сравнительно недавно [78, с. 43], а ведь появление новых объектов, средств и способов совершения преступлений в сфере информационных технологий требует своевременной реакции со стороны ученых-криминалистов.

27

Указанные следы остаются прежде всего на компьютерно-технических носителях информации, отражая, при сравнении с исходным состоянием, изменение хранящейся в них информации. Речь идет о модификации информации, находящейся в базах данных, программах, файлах, учетных записях в сети Интернет и т. п., на флеш-картах и жестких дисках компьютеров. К компьютерно-техниче- ским следам относят также результаты работы антивирусных программ, которые возможно выявить путем изучения компьютерного оборудования, протоколов работы программ, рабочих записей программистов и др.

Помимо распространенных мест поиска следов преступления, которыми являются место нахождения преступника и место происшествия, следы преступлений в виде компьютерной информации могут быть обнаружены при передаче по каналам связи либо в месте хранения и автоматизированной обработки с использованием вычислительных мощностей, то есть к месту поиска следов и ис-

точникам криминалистически значимой информации относятся:

–рабочее место преступника (компьютерные устройства, электронные носители информации, средства связи, записи);

–место происшествия (компьютерная система);

–сетевые ресурсы преступника (в локальной сети и глобальной сети);

–каналы связи преступника (сетевой трафик);

–легальные сетевые ресурсы, используемые в преступной деятельности (почтовые серверы, вычислительные мощности провайдеров хостинга, ресурсы провайдера по предоставлению доступа в Интернет и т. п.). Яркой особенностью подобных следов является то, что для их выявления необходимо привлечение специалиста.

В случае выявления сетевых ресурсов в Интернете, используемых для осу-

ществления преступной деятельности, источниками криминалистически значимой информации являются:

1) данные провайдеров хостинговых услуг:

–журнальные файлы (лог-файлы) подключений к арендуемому сетевому ресурсу;

–цифровые копии содержимого серверов или облачных хранилищ инфор-

мации.

Изучение лог-файлов подключений к серверу, использующемуся в криминальной деятельности, позволяет обнаружить сетевые адреса пользователей этого ресурса и принять меры к установлению их личности. Если реальный IP-адрес пользователя скрыт прокси-сервером, необходимо, при наличии возможности, повторить операцию по поиску адресов и попытаться проследовать по их цепочке.

В ходе исследования копий содержимого серверов могут быть подтверждены факты их использования при совершении киберпреступлений, обнаружены экземпляры распространяемых вредоносных программ, выявлены сетевые реквизиты пользователей – имена учетных записей и IP-адреса подключений,

атакже адреса других серверов сетевой инфраструктуры;

2) данные провайдеров доступа в сеть Интернет:

– журнальные файлы доступа в Интернет;

28

– статистические данные учета сетевого трафика.

Лог-файлы и статистические данные учета сетевого трафика, собираемые интернет-провайдером, содержат сведения о сетевой активности пользователей конечных устройств, которыми могут быть как преступники, так и потерпевшие. В любом случае информация может представлять интерес для следствия и использоваться для выявления сетевых адресов, с которыми конечные устройства взаимодействовали (серверы управления и распространения вредоносных программ, форумы криминальной направленности, виртуальные обменные и платежные сервисы и т. п.) [78, с. 44].

Если конкретизировать традиционную классификацию электронно-цифро- вых следов, то при выявлении преступлений в сфере информационных техноло-

гий основной объем необходимых действий правоохранительных органов сво-

дится к установлению сведений от оператора связи, оказывающего телематические услуги, а также выяснению конкретного пользователя путем соотнесения полученных сведений.

Указанную информацию об электронно-цифровых следах можно получить путем исследования:

1)регистрационных данных по IP-адресу, с которого были осуществлены преступные действия;

2)сведений об отправителе электронного письма;

3)сведений о владельце электронного почтового ящика;

4)данных средств вычислительной техники по МАС-адресу [34, с. 25].

Первый путь – исследование регистрационных данных по IP-адресу.

IP-адрес – это набор из четырех десятичных чисел, разделенных точками,

универсальный идентификатор средства компьютерной техники в Интернете. По функциям IP-адрес можно сравнить с почтовым адресом.

Различают статические и динамические IP-адреса. Статический – постоянный адрес, который каждый раз присваивается определенному пользователю – владельцу адреса, он обеспечивает повышенную надежность авторизации. Динамический IP-адрес присваивается каждому подключаемому к Интернету сетевому устройству, если ему не присвоен статический IP-адрес.

Мобильные операторы присваивают IP-адрес по абонентскому номеру. Каждому оператору связи Роскомнадзор определяет свой диапазон IP-адресов.

Для определения принадлежности IP-адреса конкретному оператору можно:

1)воспользоваться глобальным справочным интернет-сервисом Whois (на-

пример, по адресам: https://whois.ru/; https://speed-tester.info), предоставляющим ин-

формацию о регистрационных данных владельцев IP-адресов и доменных имен. На открывшейся странице нужно выполнить ряд действий: заполнить графу «Введите домен или IP» или перейти по ссылке «Узнать чужой IP» и заполнить нужные поля на новой вкладке и др. Так, на сайте «speed-tester.info» сервис определения чужого

IP-адреса находится на вкладке https://speed-tester.info/check_another_ip.php. В итоге появятся сведения об операторе связи, стране, городе и др.;

2)направить запрос установленному оператору о предоставлении регистрационных данных абонента.

29

Пример запроса регистрационных данных IP-адреса:

…прошу предоставить регистрационные данные абонента, которому был выделен IP-адрес… (например, 87.23.123.32) в следующие периоды вре-

мени… (указываются точные дата и время).

Второй путь – исследование сведений об отправителе электронного письма.

IP-адрес может быть определен по данным электронного письма, которое содержит информацию о маршруте следования в процессе отправки-получения. Анализ такой информации позволяет получить сведения об IP-адресе элек- тронно-вычислительной машины, с которого оно было отправлено, и реальном электронном почтовом ящике, так как в ряде случаев при получении письма

вполе «От кого» может быть указан произвольный электронный почтовый ящик,

втом числе не принадлежащий подозреваемому.

Как правило, по умолчанию информация о движении электронного письма получателю не отображается. В зависимости от используемого почтового клиента можно ознакомиться со свойствами письма, выбрав на командной панели определенный заголовок, например «Служебные заголовки».

Название строки в меню (она, в свою очередь, может скрываться за знаком «…» или надписью «Еще») для некоторых популярных почтовых клиентов, используемых в Российской Федерации:

–«Служебные заголовки» – mail.ru;

–«Свойство письма» – yandex.ru;

–«Показать оригинал» – gmail.com;

–«Показать исходник» – mozilla.

Процесс получения регистрационных данных и информации о соединениях по установленному IP-адресу описан выше.

В целях установления владельца электронного почтового ящика (третий путь) необходимо прежде всего:

1)исследовать название: yyy@xxx.ru, где ууу – имя пользователя (логин),

ххх– адрес сервиса электронной почты (например, mail.ru);

2)выяснить принадлежность электронного почтового ящика конкретному сервису электронной почты.

Наиболее популярные сервисы электронной почты