диссертация Колычева. Диссертация__Колычева_А.Н.. Фиксация доказательственной информации, хранящейся на ресурсах сети интернет

42 сетях будем опираться на позицию Р.С. Белкина (как на базовую, определившего механизм следообразования как специфическую конкретную форму протекания процесса, конечная фаза которого представляет собой образование следоотображения», где участниками этого процесса выступают следообразующий и следовоспринимающий объекты, результатом которого является вещество следа. Одновременно в аспекте нашего исследования будем учитывать и мнение В.А. Милашева, согласно которому механизм взаимодействия двух различных двоичных кодов не позволяет применять к ним такие концептуальные для криминалистики понятия, как следообразующий объект, следовоспринимающий объект и следовой контакт в том содержательном аспекте, который придает им криминалистика, ввиду отсутствия внешнего строения у компьютерной информации»
46
Механизм следообразования в информационных сетях происходит несколько иначе, чем при взаимодействии рассматриваемых в криминалистике объектов материального мира. Особенности взаимодействия заключаются в отсутствии пространственной формы у цифрового следа, особенностях внутреннего строения, способах преобразования и недоступности их непосредственного восприятия. При рассмотрении факторов механизма следообразования в информационных сетях, ив частности в сети Интернет, необходимо получить представление о наиболее используемых стандартах обмена информацией в сети, таких как TCP/IP, представляющий собой набор протоколов передачи данных, получивший название от двух принадлежащих ему протоколов TCP англ Control Protocol) и IP (англ Protocol). К наиболее известными часто используемым протоколам в сети Интернет относятся
45
Белкин, Р.С. Курс криминалистики. Частные криминалистические теории. 2 т. / Р.С. Белкин. - Москва Юрист, 1997. - С. 61.
46
Милашев В.А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ автореф. … канд. юрид. наук 12.00.09 / Милашев Вадим Александрович. - Москва, 2004. - С. 19.

43
HTTP (Hyper Text Transfer Protocol) – протокол передачи гипертекста. Протокол HTTP используется при пересылке страниц между компьютерами, подключенными к одной сети
FTP (File Transfer Protocol) протокол передачи файлов со специального файлового сервера на компьютер пользователя. FTP дает возможность абоненту обмениваться файлами с любым компьютером Сети в бинарном (от англ. binary - двоичный) или текстовом формате
POP3 (Post Office Protocol) и SMTP (Simple Mail Transfer Protocol) стандартный протокол почтовых соединений. Серверы POP обрабатывают входящую почту, а протокол POP предназначен для обработки запросов на получение почты от клиентских почтовых программ SMTP возвращает либо подтверждение о приеме, либо сообщение об ошибке, либо запрашивает дополнительную информацию
TELNET — это протокол удаленного доступа. TELNET дает возможность абоненту работать на любой ЭВМ, находящийся в Сети. На практике возможности ограничиваются тем уровнем доступа, который задан администратором удаленной машины. Сеть Интернет представляет собой совокупность компьютерных сетей в транснациональном масштабе, объединенных между собой протоколом
ТСР/IP, который помечает подключенный к нему сервер или компьютер в виде числового ряда 111.111.111.111. При этом трехзначное число между точками может принимать любое значение от 1 до 254 (адреса вида 10.0.0.0 и
10.0.0.255 не берутся в расчет в связи стем, что являются технологическими адресами, а адресованный номер является уникальным для конкретного компьютера или сервера (в пределах одной подсети) и не может быть присвоен одновременно другому компьютерному или серверному объекту, поскольку это приведет к нарушению работы Сети. Рассматриваемый числовой ряд является адресом устройства, способного при наличии возможности подключаться к Сети, получать и предоставлять уникальные

44 идентификационные сведения о себе. Уникальность адреса позволяет найти, получить, передать информацию от одного компьютера или узла к другому без ошибки адресата. С 1980-1990 годов для присвоения адресов активно использовался протокол IPv4 47
, однако в связи стем, что данный протокол поддерживает только 4,3 миллиарда уникальных глобальных адресов и это ограничение не менялось с момента появления данной версии в 1981 году, в 1996 году был утвержден новый стандарт сетевой адресации под названием IPv6, и только в
2012 году начался переход на этот стандарт. Данный вид стандарта позволяет более точно установить владельца адреса, в связи с более полной привязкой его к тому или иному сегменту сети. Компьютеры в таких сетях имеют адреса вида 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d. Такой адрес содержит в себе информацию об идентификаторе провайдера, абонента, подсети, узла. Нов связи с малой распространенностью данного стандарта на территории РФ подробно рассматривать вопрос данной адресации в части, касающейся расследования преступлений, совершенных в сети Интернет, мы не будем. Существует два вида получения адреса
- статический, данный адрес присваивается сетевому адаптеру вручную пользователем, исходя из правил сетевого адресного пространства к которому подключен абонент и является постоянным адресом
- динамический, автоматически присваиваемый сетевому адаптеру сетевым оборудованием из пула свободных адресов в рамках определенного адресного пространства и являющийся непостоянным(по мере подключения и отключения абонентов адреса могут изменяться автоматически. При подключении к ресурсам интернет-провайдера пользователь получает адрес, фиксируемый сетевым оборудованием провайдера. Существует несколько видов предоставления адресов. Это так называемый
47
Гаврилов, МВ. Информатика и информационные технологии учеб. МВ. Гаврилов, В.А. Климов. -е изд, перер. и доп. - Москва Юрайт, 2013. - С. 269.

45 белый, или публичный, адрес, который используется для выхода в Интернет, и доступ к устройству с таким адресом можно получить из любой точки глобальной Сети, т.к. публичные (глобальные) адреса маршрутизируются в Интернете, и серый адрес, при котором доступ в Интернет не предоставляется напрямую, а осуществляется через определенный маршрутизатор. Сточки зрения обеспечения собственной безопасности лица, имеющие преступный умысел, как правило, используют именно их. В обычном порядке данные адреса назначаются провайдерами в следующих подсетях: 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255,
192.168.0.0 – 192.168.255.255 Для удобства пользователей Сети существует доменная система имен
(DNS), которая используется для получения адреса по имени компьютера или устройства, получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене. Данная система позволяет присваивать узлам в сети актуальные для человеческого восприятия адреса(например, http://правительство.рф) и переводит их в понятный для технологического оборудования адрес. Несмотря на удобство для пользователя, система DNS позволяет злоумышленникам, создав копию сайта какой-либо платежной системы и зарегистрировав у хостинг-провайдера домен с использованием визуально схожих символов (например, 0 и О или 1 и I), ввести граждан в заблуждение и, воспользовавшись их невнимательностью, слабым владением техническими навыками, получить данные о платежных реквизитах банковских карт и иную информацию. Для пользователей при переходе на такую страничку будет довольно сложно различить данную замену например, www.WEBMONEY.ru и www.WEBM0NEY.ru). Рассмотрев, технические основы работы сети Интернет, считаем целесообразным обратиться к полярным мнениям авторов, рассматривающих
48
Провайдеры Электронный ресурс - Режим доступа https://zyxel.ru/kb/2730/- Дата обращения 19.12.2016.

46 механизм следообразования в компьютерных системах с учетом особенностей работы сети Интернет. Так, В.Ю. Агибалов при построении модели следообразования электронных следов начальными этапами указывает физическую реализацию внешнее проявление) свойств следообразующих объектов, но при этом в комментарии к данному этапу указывает, что в качестве следообразующего объекта может выступать объект, уже представленный в цифровой форме, чем противоречит сам себе. При рассмотрении факторов следообразования необходимо рассматривать не только физические свойства объектов, но и события – действие или бездействие в виртуальной среде. Например, зафиксированную в системных журналах операционной системы модификацию файла или зафиксированное в системных журналах (браузера, прокси-сервера, web- сервера) обращение к определенному адресу. К примеру бездействия можно отнести не вовремя проделанную операцию создания резервной копии данных, в результате чего необходимая информация была безвозвратно утеряна, что привело к крупным материальным убыткам. В своей работе по вопросу следообразования В.Ю. Агибалов больше уделяет внимание преобразованиям какого-либо объекта из одной формы в другую, находя следы именно в этих объектах. На наш взгляд, это не раскрывает всю сущность электронно-цифровых следов, так как следами могут служить не только преобразованные объекты, но и зафиксированные сведения о ходе их преобразований, и зачастую они будут играть не менее важную роль в доказательственном процессе. Мы можем сколько угодно рассматривать модифицированный файл, ноне проанализировав информацию о средствах его модернизации, времени, субъектах обращения к данному файлу, мы не сможем получить полного представления о случившемся событии и криминалистически значимой информации. Иной позиции в русле рассматриваемого вопроса придерживается В.Б.

47
Вехов, который водной из работ пишет, что следами-отображениями, которые характеризуют результат взаимодействия, являются фиксируемые компьютерной системой изменения объектов, и благодаря предопределенности алгоритмов обработки информации зачастую возможно точное определение причин возникновения следа и инструментов, создавших наблюдаемые изменения
49
Основой механизма образования следов рассматриваемой категории является их электронно-цифровое отображение, происходящее в искусственно созданных средах памяти электронных носителей информации, информационно-телекоммуникационных сетях, каналах связи передачи информации, информационных системах. Объем получаемой криминалистически важной информации, представляющей интерес при расследовании уголовного дела, в данном случае будет зависеть оттого, как разработчик данной среды еѐ спроектировал, какие стандарты и формы взаимодействия и обработки информации задействовал. Сам след в данном случае будет представлять собой сложную информационную структуру, способную содержать в себе как цифровые значения параметров объектов, таки иную вспомогательную информацию, определяющую его принадлежность к конкретной информационной среде(например, метаданные, описывающие структуру объектов, способы их обработки, описательную информацию. Интерес к метаданным возрос в связи с интенсивным развитием сетевых технологий, предполагающих формирование и существование многочисленных сообществ, в рамках которых люди с различными уровнями знаний и интересов взаимодействуют друг с другом, а границы между традиционными ролями (например, автор, издатель, библиотекарь) четко не определены.
49
Вехов, В.Б. Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки монография / В.Б. Вехов. – Волгоград ВА МВД России, 2008. - С. 87.

48 Существуют разнообразные классификации категорий метаданных, отличающиеся друг от друга степенью детализации. Для целей данной работы мы считаем достаточным разделить метаданные на две большие группы
- контентные метаданные, описывающие структуру или составные части вещи, то, чем вещь является, описывающие природу вещие признаки. Например, формат и размер файла, набор связанных с информацией категорий, ссылки на другие объекты, связанные с ним
- административные метаданные, требующиеся для процессов обработки информации, назначение вещи. Например, информация об авторе, редакторе, дата опубликования и т. д.
Контентные метаданные охватывают описание всех аспектов данного информационного объекта как отдельной сущности. Иногда их дополнительно подразделяют на структурные и описательные. Административные метаданные объединяют различные группы и отличаются большим разнообразием. Они дают возможность владельцу ресурса организовать четкую и гибкую политику в отношении информационного объекта, включая аутентификацию, авторизацию управление авторскими правами и доступом, и служат для идентификации и классификации объектов в специальных коллекциях. Метаданные для архивирования включают в себя не только метаданные для нахождения ресурсов, возможные правила и условия доступа и т.д., но и периоды времени для классифицированной информации, информацию о виде хранения, данные об использовании, информацию о миграции с одной программно-аппаратной платформы на другую и т.п. Некоторые группы административных метаданных могут использоваться для позиционирования информационных ресурсов в рамках групп подобных документов, информационно-поисковой системы, области науки и т.д. Существует технический подвид административных метаданных, в качестве примера которых, можно назвать

49 схемы хранения данных в схемах распределенных баз данных (СУБД) и др. Наконец, метаданные можно использовать для "кодирования" содержательной информации о том, для каких групп пользователей предназначен ресурс, для ориентирования пользователей относительно его философского, мировоззренческого смысла
50
В свою очередь на механизм следообразования в информационных сетях влияет ряд следующих факторов а) факторы, независящие от личности потерпевшего или преступника, такие как виды и типы технологического оборудования, определяющие построение сетей передачи данных, виды каналов передачи данных, операционные системы и прикладное программное обеспечение сервисов предоставления сетевых ресурсов и услуг (провайдеры, владельцы сетевых ресурсов и пр, наличие средств информационной безопасности и обнаружения вторжений, форма подключения абонентов к сетевым ресурсам, наличие уязвимостей технологического оборудования, программных средств и средств обеспечения информационной безопасности и т. д б) факторы, находящиеся в прямой зависимости от личности потерпевшего или преступника, такие как наличие теоретической и практической подготовки по вопросам функционирования сетевых технологий и информационной безопасности знание особенностей и уязвимостей технологического оборудования, программных средств и средств обеспечения информационной безопасности на стороне сервисов, предоставления сетевых ресурсов и услуг злоумышленником, интеллектуальные особенности личностей. Таким образом, в отличие от криминалистического учения о следообразовании, где основным фактором является механическое контактное взаимодействие следообразующего и следовоспринимающего
50
Определение метаданных Электронный ресурс Информационно-интерактивный портал Российского фонда фундаментальных исследований Российские электронные библиотеки. - Режим доступа http://www.elbib.ru/index.phtml?page=elbib/rus/methodology/md_rev/md_def - Дата обращения 03.01.2017 г.

50 объектов, имеющих физические свойства, при образовании цифровых следов в связи с отсутствием физической формы объекта мы можем зафиксировать только изменения на уровне электромагнитных взаимодействий цифрового сигнала, которые могут быть выявлены только с помощью технических средств, преобразующих электронно-цифровую модель объекта в вид, доступный для восприятия человеком. При этом в каждом случае для выявления следов необходимо определить такую информационную среду, обусловленную определенными правилами и алгоритмами, в которой происходила обработка информации, где данная информация будет представлять собой криминалистически значимую информацию, а не набор закодированных символов, не представляющих практического значения. С учетом вышеизложенного мы пришли к следующим выводам
1. Для понимания механизма следообразования в информационных сетях необходимо определить изменения, произошедшие в результате электромагнитных взаимодействий цифрового сигнала и среды, в которой происходила обработка сигнала, а также то, какие факторы оказали влияние на процесс электромагнитных взаимодействий цифрового сигнала.
2. Несмотря на существование унифицированных стандартов обработки информации, механизм образования электронно-цифровых следов будет различен в зависимости от построения той информационной среды, в которой они находятся. В связи с постоянным развитием информационных технологий количество вариаций отображения следов, характеризующих результат взаимодействия в интернет-пространстве, будет увеличиваться. Следовательно, для того, чтобы найти, зафиксировать и установить связь между цифровыми следами и электромагнитными взаимодействиями в компьютерной системе и Сети, необходимо установить перекрещивающуюся взаимосвязь между указанной системой, Сетью и интересующим следствие событием либо действием, оставившего свое отражение.

52 является участие специализированного органа дознания, такого как отдел отделение) К, который находится в структуре БСТМ министерств и управлений по субъектам Российской Федерации, управлений на транспорте МВД России
51
Специфика расследования преступлений, при совершении которых используются ресурсы сети Интернет, обусловлена сущностью Сети и теми услугами, которые она предоставляет. Самым ярким примером является факт существования в сети Интернет значительного количества предложений хостинга сайтов на серверах, которые могут располагаться как на территории Российской Федерации, таки на территории любой страны мира. То есть если сайт размещен не на территории России, то сервер, предоставляющий хостинг, не подпадает под юрисдикцию отечественной правоохранительной системы, что, несомненно, затрудняет получение необходимой для следствия информации. Соответственно, лица, желающие обойти запретительную норму в российском законодательстве, целенаправленно осуществляют хостинг на серверах, размещенных территориально в тех государствах, где действия, характеризующиеся в России как преступные, не подпадают под уголовную ответственность по законодательству данных стран. Так, например, согласно законодательным нормам Швейцарии отсутствует запрет на загрузку объектов авторского права в личных целях для некоммерческого использования. А в уголовном праве Испании ответственность исключается в отношении поисковиков и торрент-трекеров
52
Основным способом законного получения доказательственной или криминалистически значимой информации является международное сотрудничество по линии Следственного департамента МВД России и по
51
Структура управления К МВД РФ Электронный ресурс сайт. – Режим доступа https://xn--b1aew.xn-- p1ai/mvd/structure1/Upravlenija/Upravlenie_K_MVD_Rossii. - Дата обращения г.
52
Мараховская, МВ. Публично-правовые способы защиты авторских прав на программы для ЭВМ научно- практическое пособие /Мараховская МВ, Панкевич Л.Л., Тушканова О.В.– Москва РГУП, 2015. - С.

53 линии Интерпола.
53
В рамках сотрудничества по линии Интерпола оперативные подразделения через НЦБ Интерпола МВД РФ обращаются с запросом в правоохранительные органы иностранных государств для получения следующей информации а) о сетевых адресах пользователей, именах доменов, серверов организаций и пользователей б) о содержании протоколов, файлов журналирования работы систем в) об электронной информации, заблокированной в порядке оперативного взаимодействия правоохранительных органов при пресечении трансграничных правонарушений го провайдерах, предоставляющих сетевые и телекоммуникационные услуги до физических и юридических лицах, причастных к преступлению е) сведения о ранее совершавшихся аналогичных преступлениях. Так, если входе расследования устанавливается банковская платежная карта и возникает необходимость в установлении банка-эмитента и государства, в котором он находится, необходимо обратиться с соответствующим запросом в НЦБ Интерпола МВД России. В рамках исполнения указанного запроса через телекоммуникационную сеть
Интерпола I-24/7, где функционирует директория прямого доступа к базам данных по BIN платежных систем MasterCard и Visa (удаленно –
AmericanExpress), в результате проверки 6-значного BIN платежной карты база данных предоставляет информацию о банке-эмитенте и государстве его нахождения
54
В этой связи необходимо учитывать складывающуюся международную обстановку на мировой арене и осознавать реальную возможность получения
53
Об утверждении Инструкции по организации информационного обеспечения сотрудничества по линии
Интерпола Электронный ресурс Приказ МВД РФ от 06.10.2006 № 786, Минюста РФ № 310, ФСБ РФ № 470, ФСО РФ № 454, ФСКН РФ № 333, ФТС РФ 971 // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновления г. - Вред. от п. 129.
54
Письмо Следственного департамента МВД России от 10 сентября 2014 г. 17/3-23750.

54 информации, интересующей следствие, в нашей стране от иностранного государства, даже при наличии заключенных международных договоров в рамках оказания международной правовой помощи по уголовным делам
55
Проанализировав следственную, судебную практику и учитывая вышеизложенное, полагаем, что разобрать варианты фиксации доказательственной информации, хранящейся на ресурсах сети Интернет, целесообразно, рассмотрев ряд способов совершения преступлений, затрагивающих интересующую нас категорию, с позиции действий следователя, с техническими особенностями сети Интернет, способствующих выявлению электронно-цифровых следов и их дальнейшей фиксации. Результаты проведенного анкетирования следователей показали, что чаще всего следователи сталкивались с расследованием преступлений, связанных с незаконным изготовлением, приобретением, хранением материалов с порнографическими изображениями несовершеннолетних
(30%) и хищением через телекоммуникационные сети банковских структур денежных средств клиентов банков (32%). Достаточно часто следователи сталкивались с расследованием преступлений, связанных с незаконной организацией и (или) проведением азартных игр с использованием ресурсов сети Интернет (26%) и незаконным доступом к сети Интернет (27%). Далее, с учетом тематики исследования, рассмотрим два вида преступлений, набравших согласно анкетированию наибольший процент. Незаконное приобретение, хранение материалов порнографического содержания с несовершеннолетними на жестких дисках персональных компьютеров, страницах социальных сетей
(«ВКонтакте», Одноклассники) в Интернете и распространение аналогичного содержимого путем предоставления неограниченному количеству
55
Иностранные государства, с которыми у Российской Федерации заключены международные договоры Электронный ресурс сайт
/ Министерства юстиции РФ.
– Режим доступа http://to76.minjust.ru/ru/inostrannye-gosudarstva-s-kotorymi-rossiyskoy-federaciey-zaklyucheny-mezhdunarodnye- dogovory-0. - Дата обращения 24.03.2017 г.

55 пользователей конкретной пиринговой сети, социальной сети свободного доступа для просмотра и скачивания указанных материалов. Как правило, основанием для проведения оперативно-розыскных мероприятий сотрудниками К БСТМ является информация, поступающая от граждан, из средств массовой информации, либо информация, выявленная непосредственно сотрудниками входе мониторинга сети Интернет. Указанная информация содержит сведения о том, что неустановленное лицо, являющееся пользователем социальной сети, владельцем сайта или блога, на своей страничке выкладывает фото- и видеоматериалы предположительно порнографического содержания, в том числе с участием несовершеннолетних лиц, для публичного или ограниченного доступа, либо лицо распространяет данные материалы с использованием пиринговых (одноранговых, децентрализованных, Peer-to-Peer (P2P)) сетей свободного доступа неограниченному числу лиц как платно, таки на безвозмездной основе. Первоначально при рассмотрении информации о размещении нелегальных сведений на странице интернет-сайта, блога, форума, социальной сети и установлении указанного факта его необходимо задокументировать. Это возможно осуществить путем снятия снимков экрана
(скриншота), либо осуществив копирование структуры сайта на локальные носители при наличии такой возможности(например, с использованием программного обеспечения TeleportPro). Следующей целью является установление владельца данного ресурса с использованием сервиса или аналогичных сервисов, предоставляющих информацию о владельцах сетевых ресурсов. Благодаря данной информации возможно установить тех, кто может иметь сведения о владельцах нелегальной информации, либо о пользователях, разместивших такую информацию на страницах, распределенных в пределах зоны
56
Сервис по предоставлению выделенных серверов Электронный ресурс сайт. Режим доступа https://www.whois-service.ru. - Дата обращения 18.02.2017 г.

56 ответственности владельца ресурса. Отдельным моментом необходимо отметить промежуточное звено сетевого информационного обмена, находящееся в промежутке между сайтами, размещенными у хостинг-провайдера или на собственных серверах и файловыми пиринговыми сетями. Это интернет-страницы, размещенные в децентрализованных (пиринговых) сетях(например, Tor, ZeroNet). В данном случае страницы не хранятся водном определенном месте на сервере, а одновременно размещаются на компьютерах миллионов пользователей Сети в определенной процентной части, не имея юридически закрепленного владельца. При этом ограничить доступ к данному сайту либо установить владельца данного ресурса практически невозможно. Фактически его владельцем, как и «хостинг-провайдером», становятся все пользователи децентрализованной сети, и только методом «контент-анализа» информации, в случае если на странице есть какие-то дополнительные сведения, например, номера телефонов, почтовые адреса, адреса электронной почты, сетевые псевдонимы, определенная символика и т.д., можно выявить владельца. При выявлении информации, распространяемой с использованием пиринговых сетей, следует обратить внимание, что принципы работы P2P- сетей заключается в следующем пользователи размещают необходимые для передачи файлы в общедоступную для других пользователей директорию. Другой пользователь сети посылает запрос на поиск нужных ему файлов по ключевым словам с помощью интерфейса клиента с возможностью определения его вида, формата, объема. Программное обеспечение клиента сети осуществляет поиск запрашиваемого файла у других клиентов сети и выдает результат в виде ссылок, которые не содержат в себе имен, описаний файлов, адресов источников, а только контрольные суммы файлов (CRC). Далее пользователь может скачать файлы с предлагаемых источников, причем с возможностью получать один файл сразу с нескольких источников, так как это намного увеличивает скорость и надежность. В момент получения

57 файла этот же файл одновременно могут скачивать и другие клиенты сети, являясь одновременно источниками друг для друга, так как при обмене информацией файлы делятся на произвольное количество пакетов, которые могут скачиваться в произвольном порядке. Характерной особенностью децентрализованных сетей, исходя из названия, является отсутствие единого выделенного сервера управления, поиска и хранения информации, что зачастую приводит к сложности определения первоначального источника размещения информации. В данном случае клиентские компьютеры, входящие в подобную сеть, одновременно являются и серверами, и клиентами. В интернет-пространстве существуют как полностью децентрализованные сети, таки частично децентрализованные, или гибридные, при которых существуют серверы, но они содержат в себе информацию только о контрольных суммах файлов и о доступности пользователей в сети. Также такие сети можно классифицировать как
- открытые (общедоступные
- закрытые, определяемые как (friend-to-friend (f2f)), те. пользователи в них обмениваются файлами только с теми, кому доверяют. В программном обеспечении клиентов можно выделить два типа каталогов для обмена с другими пользователями
1. Заложенные исходным кодом программного обеспечения, необходимые для минимального функционирования программного обеспечения, у которых отсутствует возможность их редактирования например, каталог для загруженных или загружаемых файлов).В данных каталогах могут оказаться как умышленно размещенные пользователем файлы, таки скачанная им информация с других источников.
2. Каталоги обмена информацией, созданные самим пользователем, содержимое которых определяется им самим.

58 В связи с этим при выявлении каталогов первого типа определяется спорная, сточки зрения доказывания умысла, особенность работы программных клиентов пиринговых сетей, как, в принципе, и самих сетей, поскольку при скачивании информации, пользователь одновременно и распространяете, возможно даже не желая этого. Данная особенность заложена в саму архитектуру программного обеспечения, так что не зависит от желания пользователя распространять информацию или нет. Возможно грамотное использование преступниками одновременно двух технологий размещения информации например, в пиринговой сети распространять небольшие демонстрационные видеоролики, подборки фотоизображений и иллюстраций с информацией об адресе сайта в сети Интернет, где можно получить более широкий ассортимент аналогичного материала. Поэтому лицо, проводящее первоначальный осмотр ПЭВМ или оказывающее помощь (специалист) в его проведении, должно обладать познаниями в области работы пиринговых сетей, их видов и особенностей архитектуры клиентов программного обеспечения для каждого вида сети. Для того чтобы привлечь квалифицированного специалиста, следователю приходится разбираться в том, кого именно привлечь в конкретном случае. Особенно актуальна эта проблема для уголовных дело преступном распространении запрещенных материалов через файлообменные сети путем прямой рассылки или предоставления доступа
57
Указанные выше технические особенности размещения информации и работы в сети Интернет необходимо учитывать оперативным сотрудникам в рамках сбора материалов предварительной оперативной проверки. Обязательным условием для удостоверения факта, хода, содержания и результатов оперативно-розыскных мероприятий является привлечение
57
Куприянов, А.А. Доказывать отсутствие подделки адресов обвиняемых обязано следствие / А.А.
Куприянов // Уголовный процесс. – 2017. - № 6. – С. 8.

59 представителей общественности. Особая специфика дополнительной фиксации будет выражаться в снятии снимка с экрана монитора компьютера
(скриншота). Порядок действий оперативных сотрудников, направленных на фиксацию рассматриваемого способа совершения преступления
1. По факту обнаружения признаков преступления оперативным сотрудником составляется соответствующий рапорт, в котором указывается, где, когда и при каких обстоятельствах было совершено преступление.
2. В рамках оперативно-розыскного мероприятия сбор образцов для сравнительного исследования оперативный сотрудник посредством имеющегося у него в пользовании персонального компьютера осуществляет выход в сеть Интернет. Проводит осмотр электронной страницы, на которой, по оперативной информации, пользователем размещены в открытом доступе материалы предположительно порнографического содержания с персонального компьютера, подключенного к сети Интернет. Затем открывается социальная сеть.Для этого необходимо быть зарегистрированным в соответствующей сети пользователя, затем следует зайти на страницу лица, разместившего интересующие файлы (чаще всего это видеофайлы), либо запустить программное обеспечение, позволяющее подключиться к пиринговой сети, в которой по имеющейся оперативной информации, и осуществляется распространение файлов с содержанием порнографических изображений несовершеннолетних. Интересующие файлы можно определить по названиям. Далее в списке зарегистрированных пользователей пиринговой сети осуществляется поиск лица, которое предположительно распространяет незаконный контент. Просматриваются файлы для скачивания, распространяемые проверяемым пользователем. Одновременно в акте фиксируется адрес, под которым осуществляется выход в Интернет. При осмотре файлов, размещенных на странице социальной или

60 пиринговой сетей, находящихся в открытом доступе, осуществляется скачивание файлов, выбранных по названиям, на жесткий диск компьютера. Путем воспроизведения загруженные файлы проверяются на работоспособность.
Криминалистически верно, на наш взгляд, осуществить запись на компакт-диск формата CD-R, DVD-R, после чего поместить в пластиковую, бумажную упаковку, опечатать упаковочный материал бирками с оттисками печати структурного подразделения с удостоверительными подписями участников мероприятия и соответствующими расшифровками и пояснительными надписями. Отражение данного действия фиксируется в акте. Также целесообразно отразить записью и то, что после копирования интересующих следствие файлов на оптический диск с жесткого диска они были удалены в присутствии представителей общественности, участвовавших входе ОРМ. Последовательность всех действий (какую клавишу нажали, какую функцию выбрали, какое окно открылось и т.д.), производимых в рамках
ОРМ на персональном компьютере, отражается в акте, что подтверждается скриншотами. По окончании проведения ОРМ Сбор образцов для сравнительного исследования, Наблюдение и составления соответствующего акта и протокола. Они предъявляются всем участвующим лицам для ознакомления при этом уточняется наличие замечаний, уточнений в рамках реализации разъясненных вначале ОРМ право чем делается пометка и составляется акт или протокол, подписываемый всеми участвующими лицами. В случае если мероприятие проводится оперативным сотрудником единолично, без привлечения других лиц, то по итогам составляется рапорт. Конечно, последний вариант фиксации для оперативного сотрудника является упрощенным, однако в последующем такой вариант оформления может

61 вызвать множественные вопросы, поскольку согласно ст. 9 ФЗ об ОРД для решения вопроса о законности проведения ОРМ суд вправе потребовать соответствующие материалы. По результатам проведенных оперативно-розыскных мероприятий проводится опрос его участников, а полученные входе ОРМ файлы необходимо отправить на исследование с целью установления признаков порнографии в видеоизображениях. В случае если входе исследования будет установлено, что в материалах, предоставленных для исследования, содержатся файлы порнографического характера с изображением несовершеннолетних лиц, то материал предварительной оперативной проверки передается руководителю следственного органа для принятия решения в порядке ст. 145 УПК РФ.
3. Для того чтобы установить пользователя страницы, сотруднику, собирающему материал предварительной оперативной проверки, необходимо сделать запрос в адрес владельца данного сетевого ресурса об адресах с которых осуществляется администрирование страницы пользователя на котором размещены в открытом доступе материалы предположительно порнографического содержания, а также сведения о том, каким образом происходила регистрация данного пользователя (зачастую для регистрации указывается абонентский номер оператора сотовой связи, принадлежащего предполагаемому подозреваемому)
После получения соответствующего ответа об адресах устанавливается провайдер, которому принадлежит данный диапазон адресов. Такому провайдеру направляется запрос о предоставлении информации о том, какому абоненту запрашиваемые адреса предоставлялись, а также МАС-адрес сетевого устройства, используемого им для работы в сети Интернет. В случае если из ответа администрации сетевого ресурса следует, что регистрация пользователя осуществлялась с использованием абонентского номера
– направляется запрос

62 соответствующему оператору сотовой связи. Целесообразно в рамках дополнительной фиксации осуществить переписку с пользователем страницы, направленную на сбор дополнительной информации о совершенном преступлении, о наличии прямого умысла на совершение преступных действий, о данных, характеризующих личность подозреваемого лица. Для этого в переписке необходимо проявить интерес к размещенным на странице пользователя для просмотра и скачивания для широкого круга лиц файлам, содержащим порнографические материалы с участием несовершеннолетних, узнать отношение к размещенным им файлам, подтвердив у него наличие прямого умысла. Выяснить сведения о пользователе, месте проживания, увлечениях, семейном положении, возможно, и получение фотографий подозреваемого – все это может способствовать установлению интересующего лица. Вся переписка документируется актом ОРМ, производятся скриншоты, о чем делается соответствующая запись в акт. Практика показывает, что взаимодействие сотрудника органа дознания, проводящего предварительную проверку, и следователя (руководителя следственного органа) на первоначальном этапе приводит к более качественному сбору материалов проверки и успешному расследованию уголовного дела. Ряд авторов, учитывая упомянутый вариант взаимодействия, обязывает следователя принять участие в составлении плана проведения предварительной проверки, что не бесспорно, учитывая режимную особенность проверочных действий, проводимых подразделениями БСТМ. Конечно, отдельные следователи с большим практическим опытом об оперативной работе знают многое. Им предоставляется информация по делу, в результате чего осуществляется обмен мнениями, происходит совместное
58
Организация расследования хищений денежных средств, совершаемых с использованием компьютерных технологий учебно-практическое пособие / А.В. Шмонин, Е.А. Ефремова, В.В. Баранов, А.В. Казюлин; под общ. ред. А.В. Шмонина: Академия управления МВД России, Следственный департамент МВД России. – Москва, 2016. - С. 109.

63 обсуждение, разрабатываются планы. Но, как справедливо отмечает А.Л. Протопопов, такое идеальное положение наблюдается далеко не всегда»
59
При этом не редкость, когда следователь не получает никакой дополнительной информации, кроме предоставленной в результатах оперативно-розыскной деятельности, что может повлечь конфликтную ситуацию и усложнить планирование хода расследования, требующего не только наличие доказательственной, но и ориентирующей информации
60
Представление полученных материалов в следственные органы осуществляется для оценки и принятия процессуального решения в порядке ст. 144 ист УПК РФ, а также для приобщения к материалам уголовного дела и проводится на основании постановления о предоставлении результатов ОРД. Данное постановление утверждается руководителем органа, осуществляющего ОРД. Результаты оперативно-розыскной деятельности в рамках доследственной проверки предоставляются с сопроводительным письмом руководителю следственного органа для решения вопроса о возбуждении уголовного дела
61
Перечисленный нами порядок действий оперативных сотрудников может носить информационное значение при оценке следователем предоставленного объема результатов ОРД, который, как правило, невелик, поскольку законодательство ограничивает право доступа следователя к сведениям в области оперативно-розыскной деятельности, составляющих Протопопов, Л.А. Следователь и оперативно-розыскная деятельность / Л.А. Протопопов // Оперативник сыщик. – 2016. - № 2(47). - С. 46-50.
60
Мазунин, ЯМ. Проблемы теории и практики криминалистической методики расследования преступлений, совершаемых организованными преступными сообществами (преступными организациями автореф. …д-ра юрид. наук 12.00.09 / Мазунин Яков Маркиянович. - Барнаул. 2006. - С. 20.
61
См Об оперативно-розыскной деятельности Электронный ресурс Федер. закон от 12.08.1995 г. № 144-
ФЗ. // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновление 20.01.2018. – Вред. Федер. закона от 06.07.2016 № 374-ФЗ; Об утверждении Инструкции о порядке представления результатов оперативно-розыскной деятельности органу дознания, следователю или в суд Электронный ресурс Приказ МВД России № 776, Минобороны России № 703, ФСБ России № 509,
ФСО России № 507, ФТС России № 1820, СВР России № 42, ФСИН России № 535, ФСКН России № 398,
СК России № 68 от 27.09.2013 // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. Последнее обновление 19.01.2018. – Вред. Приказа от 27.09.2002 №776.

64 государственную тайну
62
Оперативные сотрудники должны организовать и провести комплекс мероприятий, направленных на выявление преступления и установления лиц, его совершивших, включая фиксацию следов преступления на электронных носителях информации, отслеживание соединений с компьютерным устройством и иные действия, проводимые в рамках складывающейся оперативной ситуации. В материалах, предоставляемых следователю для решения вопроса о возбуждении уголовного дела, должны находиться а) постановления о предоставлении результатов оперативно-розыскной деятельности дознавателю, органу дознания, следователю, прокурору, в суд от (число, месяц, год, где указано, что в (указывается оперативное подразделение) заведено дело оперативного учета по факту незаконного приобретения, хранения материалов порнографического содержания с несовершеннолетними на жестких дисках персональных компьютеров, страницах социальных сетей («ВКонтакте», Одноклассники) в Интернете и распространения аналогичного содержимого путем предоставления неограниченному количеству пользователей конкретной пиринговой сети, социальной сети свободного доступа для просмотра и скачивания указанных материалов В связи с чем (в оперативном подразделении) в отношении указывается лицо) проведено оперативно-розыскное мероприятие указывается ОРМ) с использованием негласной аудиозаписи, негласного видеонаблюдения (если применялись б) постановление о проведении ОРМ от (число, месяц, год в) постановления о рассекречивании сведений, составляющих указывается вид тайны, и их носителей от (число, месяц, год г) рапорты от (число, месяц, год)оперативного сотрудника о поступлении информации о незаконном приобретении, хранении материалов
62
См О государственной тайне Электронный ресурс федер. закон от 21.07.1993 № 5485-1 // Справочно- правовая система «КонсультантПлюс». – Электрон. поисковая программа. Последнее обновление
19.01.2018. -Вред. Федер. закона от 26.07.2017 г. № 193-ФЗ ст. 2, 5.

65 порнографического содержания с несовершеннолетними на жестких дисках персональных компьютеров, страницах социальных сетей («ВКонтакте», Одноклассники) в Интернете и распространении аналогичного содержимого путем предоставления неограниченному количеству пользователей конкретной пиринговой сети, социальной сети свободного доступа для просмотра и скачивания указанных материалов д) акты личного досмотра осмотра и выдачи технических средств для проведения ОРМ; проверочной закупки осмотра от (число, месяц, год, где отражаются ходи результаты ОРМ; На основании изученной нами следственной и судебной практики независимо от состава преступления (в том числе и по рассматриваемой нами категории) поводами для возбуждения уголовных дел, по преступлениям, где на ресурсах сети Интернет содержалась доказательственная информация, являются
- заявление потерпевшей стороны (59 % случаев
- обнаружение признаков состава преступления органами дознания в рамках проведения оперативно-розыскных мероприятий, входе проверки сообщений от оперативных источников о готовящемся или о совершѐнном преступлении либо по результатам проверки контрольно-ревизионных органов (28 % случаев
- сообщения, полученные из средств массовой информации, в нашем случае это в основном видеоролики, размещенные на ресурсах сети Интернет (на различных видеохостингах, страницах социальных сетей с большим количеством сообщений в конференциях (post)). До настоящего момента сеть Интернет согласно действующему законодательству не относится к средствам массовой информации. Мы оставляем за собой право причислить сеть Интернет к средствам массовой информации в рамках тех интернет-
63
Является ли Интернет либо его ресурсы (сайты) средством массовой информации Электронный ресурс.
Интернет-портал Российской газеты Режим доступа https://rg.ru/2008/08/25/internet.html. Дата обращения
28.05.2017 г.

66 сайтов, которые зарегистрированы в качестве средства массовой информации, поскольку в настоящее время информационные потоки интернет-ресурсов имеют массовый характер восприятия и без сомнения являются таковыми по смыслу (5 % случаев
- явка с повинной (4 % случаев. Примечателен тот факт, что в изученных нами материалах по преступлениям, связанным с компьютерной информацией, преступлениям, которые были совершены с помощью электронных платежных систем, данное основание не встретилось нам ни разу, что одновременно объясняет, почему в исследовании, проведенном АН. Яковлевым и Н.В. Олиндер,
65
не упоминается явка с повинной как повод для возбуждения уголовного дела по перечисленным выше преступлениям
- обнаружение признаков преступления прокурором или следователем при расследовании других уголовных дел (4 % случаев. После возбуждения уголовного дела следователь совместно с оперативным сотрудником, сопровождающим ход расследования, составляет план согласованных следственных действий и оперативно-розыскных мероприятий. В составленном плане на первоначальном этапе расследования должны быть указаны основные и дополнительные следственные и процессуальные действия проведение допросов, обысков (выемок) по месту жительства подозреваемого и при необходимости его родственников, осмотры изъятого особый интерес представляет компьютерное оборудование) и назначение экспертиз по изъятым объектам. По мнению опрошенных следователей, информация, находящаяся на объектах-носителях электронно-цифровых следов, способствует определению направления
64
О средствах массовой информации Электронный ресурс Федер. закон от 27.12.1991 № 2124-1 //
Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновление 20.01.2018 г. – Вред. Федер. закона от 29.07.2017 г. №239.
65
Яковлев, АН. Особенности расследования преступлений, совершаемых с использованием электронных платежных средств и систем научно-методическое пособие / А.Н.Яковлев, Н.В. Олиндер. - Москва, 2012. - С. 67-68.

67 расследования и выдвижения версий по уголовному делу (в 58 % случаев. Целесообразно включать в план дополнительные оперативно- розыскные мероприятия, направленные на получение криминалистически значимой информации и подтверждение вины подозреваемого. Наглядным примером является прослушивание телефонных переговоров, которые впоследствии могут внести ясность в уяснение конкретных обстоятельств по делу. Самым распространенным следственным действием на первоначальном этапе расследования является обыск, особенности проведения и фиксации которого, нами будут рассмотрены в следующей главе. По результатам проведенного обыска тактически грамотно проведение незамедлительного допроса лица, в отношении которого проводилось следственное действие, а также членов его семьи, находившихся в момент обыскав жилище. Такой тактический прием способствует более точной и детальной фиксации действий субъектов, проводящих обыск, объектов, обнаруженных и изъятых вовремя следственного действия. Тайное хищение денежных средств с банковского, электронного счетов, совершѐнных по средствам электронных сетевых интернет-
ресурсов либо путем обмана. Существуют различные схемы хищения денежных средству лица с использованием ресурсов сети Интернет. Самыми распространенными из них являются следующие
1) Лицо (впоследствии – заявитель) звонит на номер телефона, указанный в объявлении на интернет-сайте о продаже товара ив ходе телефонного разговора продавец заявляет о значительном числе потенциально желающих приобрести товар и предлагает внести задаток посредством перечисления денежных средств на банковскую карту. После их поступления на банковский счет продавца любые контакты прерываются без последующей передачи товара.