Деятельность органов внутренних дел по борьбе с преступлениями, совершенными с использованием

132
Приложение № 2 к приказу МВД России от 29 июня 2005 г.
№ 511 содержит перечень родов (видов) судебных экспертиз, про- изводимых в экспертно-криминалистических подразделениях орга- нов внутренних дел Российской Федерации, в число которых вхо- дит и компьютерная экспертиза. Последняя представляет собой
род криминалистической экспертизы, проводимой в целях получения
доказательств на основе изучения закономерностей функционирова-
ния информации в средствах вычислительной техники
1
Основными задачами компьютерной экспертизы являются:
– поиск на электронном носителе (в средствах вычислитель- ной техники) информации, обладающей определенными характери- стиками (содержание, свойства);
– поиск на электронном носителе следовопределенных мани- пуляций с компьютерной информацией в процессе ее создания, обработки, изменения, копирования, уничтожения и пр.;
– определение свойств и функциональных возможностей про- граммного обеспечения для средств вычислительной техники и его классификация;
– определение свойств и функциональных возможностей средств вычислительной техники и их периферийных устройств;
– установление определенных обстоятельств, имеющих значе- ние для дела, по компьютерной информации.
Объектами компьютерной экспертизы являются:
– компьютерная информация, находящаяся на электронных носителях;
– информационные системы и их отдельные компоненты;
– микропроцессорные устройства, не являющиеся компьютер- ной техникой в традиционном понимании.
Следует отметить, что в связи с широким распространением бес- контактных способов совершения преступлений номенклатура объ- ектов исследования компьютерных экспертиз претерпевает суще- ственные изменения. Так, все больший удельный вес в числе объектов исследования занимают средства мобильной связи (до 90 % по уголов- ным делам, связанным с незаконным сбытом наркотических средств, совершенным дистанционным способом).
Кроме того, практика производства компьютерных экспертиз свидетельствует, что решение экспертных задач исключительно инструментальными методами не всегда представляется возмож-
1
Порядок назначения судебных экспертиз, исследований и использования экс- пертно-криминалистических учетов в органах внутренних дел Российской Федерации: справ. пособие / под ред. П. Л. Гришина. М., 2016. С. 137.

133
ным. В частности, для расшифровки криптоконтейнеров, получения доступа к заблокированным мобильным устройствам, расшифровки физического образа мобильного устройства, а также решения иных экспертных задач существенную помощь эксперту способны ока- зать сведения о паролях, кодах, ключах, которые можно получить в ходе производства оперативно-розыскных мероприятий и (или) следственных действий.
Определенной спецификой обладает исследование инфор- мации, находящейся в облачных хранилищах данных. Последние в автоматическом режиме осуществляют сохранение резервных копий информации, находящейся в мобильных телефонах, план- шетных компьютерах, иных устройствах, в зависимости от настро- ек операционной системы. Поскольку интернет-ресурсы, включая облачные хранилища, непосредственно не могут быть представлены для исследования эксперту, подлежащая исследованию информация должна быть предварительно извлечена из такого хранилища в рам- ках производства соответствующих следственных действий, напри- мер, осмотра предметов и документов.
Весьма специфичным объектом исследования выступает информация, находящаяся в оперативной памяти изъятого устрой- ства. В целях сохранения и фиксации и последующего исследования информации возможно использование фотографирования экрана устройства либо отключение устройства от сети связи путем пере- вода его в авиарежим. Учитывая, что доступ к данной информации после перезагрузки устройства станет невозможным либо она буде автоматически удалена, объектом исследования в таких случаях, исходя из сроков производства экспертизы, может выступать либо само устройство (упакованное таким образом, чтобы исключить манипуляции с ним без повреждения упаковочного материала), либо протоколы следственных действий, содержащие описание и снимки экрана.
В процессе производства компьютерной экспертизы используются
специальные знания в области информатики и вычислительной техни- ки, информационных систем и технологий, программной инженерии, информационной безопасности, электроники, радиотехники и систем связи, инфокоммуникационных технологий.
Вопросы, выносимые на разрешение компьютерной эксперти- зы, должны удовлетворять следующим требованиям.
1. При постановке вопроса необходимо использовать норма- тивно определенный понятийный аппарат, исключающий сленговые, жаргонные термины («винт» – накопитель на жестких магнитных дисках, «логи» – протоколы, «логин» – имя пользователя и т. п.).

134
При этом целесообразно использовать терминологию, определенную
ГОСТ 15971-90 «Системы обработки информации. Термины и опре- деления», ГОСТ Р 50922-2006 «Защита информации. Основные тер- мины и определения», ГОСТ Р 52292-2004 «Информационная техно- логия. Электронный обмен информацией. Термины и определения», иными нормативными актами.
2. В случае отсутствия нормативного определения того или иного термина необходимо использовать терминологию, применяе- мую разработчиками аппаратных средств и программных продуктов в технической документации.
3. Вопрос должен быть четко сформулирован и не допускать неоднозначного толкования.
4. Вопрос должен быть направлен на установление конкретно- го обстоятельства расследуемого события. При этом действующее уголовно-процессуальное законодательство предоставляет экспер- ту право расширить объем исследования, в том числе предоставить заключение по вопросам, хотя и не обозначенным в постановлении о назначении судебной экспертизы, но имеющим отношение к пред- мету экспертного исследования.
5. Формулировка вопроса не должна касаться содержания отдельных этапов исследования информации. Так, описание харак- теристик носителей информации и особенностей размещения информации на них, восстановление и исследование информации среди удаленных файлов являются обязательным этапом исследо- вания информации
1 6. Вопросы не должны быть направлены на получение инфор- мации справочного характера (разъяснение значения используемой терминологии, предоставление информации относительно общих принципов функционирования техники определенного типа, выска- зывание суждения, мнения и пр.), для ответа на которые не требует- ся производство исследования объектов.
7. Вопросы не должны носить правового характера, т. е. быть направленными на правовую оценку деяния, а также выходить за пределы компетенции эксперта, т. е. его специальных знаний. Дан- ное обстоятельство прямо отмечено в п. 4 Постановления Пленума
Верховного Суда Российской Федерации от 21 декабря 2010 г. № 28
«О судебной экспертизе по уголовным делам».
1
См.: Саенко Г. В., Тушканова О. В. Исследование компьютерной информации: типо- вая экспертная методика // Типовые экспертные методики исследования вещественных доказательств / под ред. Ю. М. Дильдина; общ. ред. В. В. Мартынова. М., 2010. Ч. 1.

135 8. Вопросы должны соответствовать существующей методи- ческой и технической базе, уровню подготовки и инструментально- му оснащению экспертов того экспертного учреждения, которому назначается экспертиза.
9. Вопросы должны соответствовать представляемым на исследование объектам.
Наиболее распространенными при назначении компьютерной экспертизы являются информационно-поисковые задачи по исследо- ванию компьютерной информации, содержащейся на электронных носителях, соответствующей определенным критериям. При этом перед экспертом ставятся следующие вопросы:
1. Имеется ли на представленных на исследование машинных носителях (дать перечень) информация, содержащая следующие ключевые слова: (дать перечень ключевых слов)?
2. Имеется ли на представленных на исследование машинных носителях (дать перечень) информация о (указать, о чем именно)?
Исследование начинается с экспертного осмотра, в процессе которого описывается и фотографируется упаковка объектов, пред- ставленных на экспертизу, извлекаются и фотографируются сами объекты исследования с указанием их габаритных размеров, цвета, расположения органов управления, кнопок, индикаторов, разъемов, наклеек, описанием индивидуализирующих особенностей (в том чис- ле повреждений, числовых и буквенных обозначений и пр). При нали- чии на устройстве энергонезависимой памяти фиксируются настрой- ки даты и времени и сопоставляются с текущими значениями.
В начале исследования используемое стендовое оборудование приводится в режим защиты от записи, производится его подклю- чение к исследуемому объекту и устанавливается структура рас- положенной на нем информации: количество, наименование и раз- мер разделов; наличие неразмеченного пространства и его размер; наименование файловой системы в каждом разделе; размер занято- го в разделе пространства; значение хеш-функции для машинного носителя (опционально).
Затем производится посекторное копирование информации с исследуемых объектов (электронных носителей носителей) на дополнительные носители. Дальнейшее исследование информа- ции производится по полученным копиям. При этом, в зависи- мости от поставленных на разрешение эксперта вопросов, может осуществляться восстановление удаленной информации, провер- ка информации антивирусным программным обеспечением, опре- деление области поиска представляющей интерес информации с учетом наличия на объекте исследования зашифрованных обла-

136
стей, файлов – криптоконтейнеров, файлов-архивов, областей дискового пространства, закрытых паролем. Решается вопрос о возможности расшифровки / доступа к скрытым (зашифрован- ным) данным.
Ключевым элементом экспертного исследования является про- смотр либо экспериментальный запуск программного обеспечения, имеющегося на объекте исследования, в целях установления его функциональных характеристик. Экспериментальный запуск про- изводится исключительно на аппаратно-программном комплексе эксперта. Следует отметить, что такие исследования проводятся не только сотрудниками правоохранительных органов (экспертами в области компьютерной экспертизы), но и работниками сторонних организаций (вирусными аналитиками), использующими в своей работе специализированные базы данных вирусных кодов, антиви- русные энциклопедии, методы статического и динамического ана- лизов, иной специфический инструментарий, методологию и про- граммное обеспечение.
Обнаруженная информация по возможности приводится к фор- мату, пригодному для поиска и просмотра, и добавляется к области поиска. Просмотр информации можно осуществлять как с помощью программного обеспечения, имеющегося на аппаратно-программ- ном комплексе эксперта, так и с помощью программного обеспече- ния, имеющегося на объектах исследования.
Если объем искомой информации значительный и позволя- ет сформировать приложение к заключению эксперта на бумаж- ном носителе, то информация может быть распечатана частич- но. После чего производится копирование информации на
CD- и DVD-диски однократной записи, о чем указывается в заключении эксперта. Запись информации на диск должна про- изводиться без изменения формата, свойств и метаданных, после чего на нерабочей поверхности CD- или DVD-диска с помощью специального маркера выполняется пояснительная надпись, заве- ренная подписью эксперта, с указанием номера и даты эксперти- зы, номера приложения.
Определенной спецификой обладает технология поиска инфор-
мации, содержащейся в абонентских устройствах подвижной теле-
фонной связи (сотовых телефонах).
Перед экспертом могут быть поставлены вопросы:
1. Имеется ли в представленном на экспертизу абонентском устройстве, установленных в нем SIM-карте и карте памяти соз- данная в процессе его эксплуатации информация: список контактов определенных лиц или абонентских номеров, отправленные и при-

137
нятые SMS-сообщения определенного содержания, аудио-, видео- и графические файлы, последние исходящие и входящие вызовы, данные программ геолокации, свидетельствующие о нахождении абонентского устройства в определенном месте в определенное вре- мя, и др.
2. Каково значение IMEI, представленного на исследование абонентского устройства?
3. Имеется ли в памяти абонентского устройства программное обеспечение, позволяющее производить определенные действия
(дать перечень), например, получать скрытно от пользователя SMS- сообщения, скрытно от пользователя отправлять SMS-сообщения на определенный абонентский номер, получать и передавать сведе- ния об абонентском устройстве без уведомления пользователя?
4. Производился ли запуск на абонентском устройстве про- граммного обеспечения, способного выполнять скрытно от пользо- вателя не запланированные им функции?
5. Имеется ли у абонентского устройства функция выхода в сеть
Интернет? Если да, то имеются ли данные об обращении к опреде- ленным интернет-ресурсам?
Поиск и исследование информации в процессе экспертного исследования проводятся в следующей последовательности:
1. Получение физического дампа памяти абонентского устрой- ства с использованием таких средств криминалистический техники, как «XRY», «UFED», «Мобильный криминалист», а также специ- ального программного обеспечения.
2. В зависимости от стоящих перед экспертом задач может осуществляться с использованием специализированных программ
(R-studio, UFS Explorer, Belkasoft, AccessData, EnCase и др.) восста- новление удаленной информации.
3. Анализ установленного, а также не установленного, но име- ющегося на устройстве программного обеспечения и приложений.
4. Проверка всей имеющейся информации антивирусным про- граммным обеспечением.
5. Поиск интересующей информации, исходя их обстоя- тельств дела и вопросов, поставленных перед экспертом. При этом из выборки исключается штатное программное обеспечение, стандартные приложения, информация, созданная ранее опреде- ленной даты.
6. Файлы, представляющие интерес, исследуются с отраже- нием в заключении эксперта их функциональных возможностей, активированных функций (например, разрешение на доступ в сеть
Интернет, отправление, прием и удаление SMS-сообщений, полу-

138
чение информации о номере телефона, серийном номере, информа- ции о вызовах, доступе к данным контактов, медиа-файлам, камере, микрофону, фотографиям, разрешение на демонстрацию сообще- ний поверх окон и пр.).
7. Для углубленного изучения программный файл может быть преобразован в код, доступный для восприятия на соответствую- щем языке программирования, например, Java. Для этого можно воспользоваться программой Dex2Jar либо Android SDK.
8. В зависимости от обстоятельств дела может производить- ся статический и динамический анализ программного обеспече- ния. В последнем случае оно запускается на аппаратно-программ- ном комплексе эксперта. При этом фиксируются его возможности отправления и получения данных о сборе и отправке пользователь- ских данных, производимых криптографических операциях, созда- ваемых и удаляемых файлах и пр.
9. На основании оценки результатов статического и динами- ческого исследования делается вывод о соответствии выявленной информации о программе обстоятельствам дела, а также наличии
(отсутствии) на устройстве искомой информации, в частности:
– в каталоге (наименование) мобильного устройства имеется программное обеспечение (наименование), позволяющее произ- водить следующие действия (перечень действий: получать SMS- сообщения, отправлять SMS-сообщения на номер..., управлять сетевыми соединениями, организовывать соединение с ... адресом, получать и передавать сведения о мобильном устройстве и т. д.) без уведомления пользователя. В памяти мобильного устройства имеются следующие сведения о его загрузке (дать перечень сведе- ний) и работе (дать перечень сведений);
– в памяти мобильного устройства имеются сведения о (дать перечень сведений: о получении SMS-сообщений с номера..., с тек- стом... и т. п.; об отправлении SMS-сообщений с номера..., с тек- стом...; об обращении к интернет-ресурсам... и т. д.);
– в памяти мобильного устройства программное обеспечение, позволяющее производить следующие действия (дать перечень действий) без уведомления пользователя, не обнаружено;
– в памяти мобильного устройства сведения о … (дать перечень) не обнаружены.
При исследовании информации, содержащейся на магнитной
полосе платежных пластиковых карт, перед экспертом могут быть поставлены следующие вопросы:
1. Какая информация имеется на магнитной полосе пластико- вой карты, представленной на исследование?

139 2. Соответствует ли информация, записанная на магнитную полосу пластиковой карты, информации, имеющейся в элементах внешнего оформления данной карты?
3. Может ли представленная на исследование пластиковая кар- та быть воспринята в технологии функционирования платежной системы в качестве платежной (при условии использования инфор- мации, записанной на магнитную полосу карты)? (на определенную дату или период времени).
При исследовании информации, содержащейся на платах игровых
автоматов, эксперт, как правило, отвечает на следующие вопросы:
1. Как атрибутируют (именуют) себя программы, имеющиеся на представленных электронных платах?
2. Каковы настройки и статистика работы устройств, из кото- рых изъяты представленные электронные платы?
3. Соответствуют ли показания даты и времени, имеющиеся на представленных электронных платах, текущим показаниям даты и времени?
Для ответа на вопросы эксперт может применять систему мани- пуляции с ключами (механическими или магнитными) и клави- шами игрового автомата или использовать специализированное оборудование, позволяющее физически подключать к компьютеру наиболее распространенные типы плат игровых автоматов с после- дующим документированием системных настроек игрового автома- та, денежной и игровой статистики.
В рамках судебной компьютерной экспертизы информации,
содержащейся в системах видеорегистрации, эксперт может помочь следователю получить доступ к видеоинформации (мультимедиа информации), а также восстановить удаленную или поврежденную информацию.
Задача определения принадлежности программ и данных
к конкретным классам, как правило, решается в контексте рас- следования нарушения авторских и смежных прав на программы и базы данных. При этом эксперт может ответить на следующие вопросы:
1. Имеются ли на (дать перечень объектов) произведения
(дать перечень произведений)? (при наличии образцов для сравни- тельного исследования).
2. Имеются ли на (дать перечень объектов) произведения, атрибутирующие себя как (дать перечень наименований)? (при отсутствии образцов для сравнительного исследования).
3. Имеются ли на (дать перечень объектов) произведения, у которых в качестве правообладателя указаны (дать перечень наи-

140
менований)? Если да, то какие сведения о наименовании / право- обладателях имеются в данных произведениях? Если да, то какие сведения о дате и времени установки программных продуктов (для установленного программного обеспечения) / создания и последне- го сохранения произведений имеются в представленных объектах?
Если да, то какие сведения о пользователях программных продук- тов, ключах установки и т. п. имеются в представленных объектах?
(для установленного программного обеспечения).
4. Появляются ли при воспроизведении произведения сообще- ния об ограничении его функциональных возможностей?
5. Имеются ли на (дать перечень объектов) программные про- дукты, с помощью которых можно совершать следующие действия
(дать перечень действий)?
6. Имеются ли на (дать перечень объектов) сведения о (дать перечень сведений)? (формулировка вопроса зависит от обстоя- тельств дела, объектов, представляемых на экспертизу, и должна быть предварительно согласована с экспертом).
Задача определения возможности совершения каких-либо дей- ствий с помощью средств компьютерной техники решается путем проведения соответствующих экспертных экспериментов. Объем и порядок проведения экспериментов зависят от предварительного изучения материалов дела, документации на объекты, представлен- ные на исследование (при наличии), сведений, полученных от спе- циалистов в конкретной предметной области.
В настоящее время идентификационная задача установления
материальных объектов по компьютерной информации проводит- ся только в комплексе с другими видами экспертиз (используются файлы, информация в которых получена в результате конформного преобразования идентификационных свойств объекта).
Решение задачи установления фактических обстоятельств
совершения преступления (имел ли место факт выхода в сеть Интер- нет, факт передачи денежных средств с помощью конкретного про- граммного обеспечения и т. п.) также может иметь комплексный характер.
В последнее время становится востребованным исследование так называемых больших данных (Bigdata), в ходе которого анализиру- ются и сопоставляются между собой массивы информации, получае- мые из различных источников (от операторов сотовой связи, центров управления дорожным движением, органов, регистрирующих сведе- ния о населении и его имуществе, из социальных сетей, компьюте- ров и мобильных телефонов и т. д.). В процессе исследования такой информации можно получить сведения, которые помогут ограничить

141
круг лиц, подозреваемых в совершении преступления, установить связи преступника, его имущественное положение и многое другое.
Одной из проблем организационного характера, возникающих при назначении компьютерной экспертизы, является недостаточное количество экспертов, имеющих соответствующий допуск, длитель- ность их производства, а также существенная стоимость при про- ведении экспертизы в иных учреждениях (от 15 до 300 тыс. руб. за одну экспертизу). В отдельных субъектах Российской Федерации
(например, в МВД по Республике Тыва) специалисты данной экс- пертной специальности вообще отсутствуют, а в ряде подразделе- ний штатная численность составляет от 1 до 3 единиц.
Длительность проведения экспертиз является одной из основ- ных причин продления процессуальных сроков по уголовным делам указанной категории. Из-за нехватки экспертов, имеющих допуск к их производству, очередь составляет от 3 до 6 месяцев. Так, по уго- ловному делу, возбужденному СО ОМВД России по Камызякскому району Астраханской области по факту несанкционированного сня- тия денежных средств с банковской карты М., компьютерная экс- пертиза ввиду очередности была исполнена лишь спустя 5 месяцев.
При этом, согласно заключению эксперта, ответить на поставленные вопросы следователя о наличии вредоносных программ не пред- ставилось возможным, так как планшетный компьютер находился в заблокированном состоянии.
Загруженность экспертов обусловлена также привлечением их в качестве специалистов при изъятии и осмотрах следователями электронных носителей в соответствии с ч. 9.1 ст. 182 и ч. 3.1 ст. 183
УПК РФ.
Однако данные требования уголовно-процессуального закона направлены на сокращение сроков проведения судебных экспертиз и исследований путем максимального использования знаний специ- алистов для оптимизации количества изымаемых объектов, непо- средственно имеющих значение для расследования уголовного дела.
Разрешение данной проблемы возможно с привлечением к участию в процессуальных действий специалистов сторонних организаций.
Так, раскрытию преступления по уголовному делу, возбужден- ному СУ УМВД России по г. Саранску по признакам преступления, предусмотренного ч. 1 ст. 272 УК РФ, в отношении И. и его скорей- шему направлению в суд, способствовало привлечение специалистов интернет-провайдера ЗАО «Контакт ТВ», которые оказали помощь в установлении IP-адреса и места, с которого обвиняемый путем подбора пароля осуществил несанкционированный доступ и времен- но заблокировал электронный почтовый ящик потерпевшего.

142
В январе 2016 г. уголовное дело было направлено в суд. И. при- говорен к 1 году 6 месяцам лишения свободы.
Недостаточное количество экспертов, имеющих допуск к про- изводству компьютерной экспертизы, приводит к проблеме, воз- никающей при рассмотрении сообщений и проведении проверок в порядке ст. 144–145 УПК РФ. Так, на сегодняшний день в ряде субъектов Российской Федерации сложилась практика возбужде- ния уголовных дел по фактам несанкционированного снятия денеж- ных средств с банковских карт по ст. 158 УК РФ как кража, а не как мошенничество, предусмотренное ст. 159.6 УК РФ, в связи с тем, что на момент возбуждения уголовного дела следствие не распола- гает достоверными сведениями (заключением эксперта) об исполь- зовании преступниками вредоносного программного обеспечения.