диссертация Колычева. Диссертация__Колычева_А.Н.. Фиксация доказательственной информации, хранящейся на ресурсах сети интернет
Скачать 1.98 Mb.
|
state: REGISTERED, DELEGATED, VERIFIED org: MapMakers Group Ltd. registrar: RU-CENTER-RU admin-contact: https://www.nic.ru/whois created: 2000-12-18T21:00:00Z paid-till: 2017-12-19T21:00:00Z free-date: 2018-01-20 source: TCI Last updated on 2017-05-03T17:06:34Z Рис. 1. Фрагмент информации, полученный из ресурса WHOIS Здесь нам необходимо обратить внимание на поля registrar – это домен-регистратор, org – организация, на которую зарегистрирован домен, 73 state – статус в случае если в статусе указано VERIFIED, это означает, что при оформлении домена были предоставлены оригинальные документы, и, значит, этой информацией владеет домен-регистратор. Информация в вышеуказанном примере не является полной, реквизитов, получаемых при запросе, может быть больше или меньше. В дальнейшем следует установить хостинг-провайдера, на оборудовании которого размещена интернет-страница с информацией, интересующей следствие. Для этого необходимо воспользоваться одним из интернет-сервисов, предоставляющих такую возможность, например CY- PR.com 66 . На данном ресурсе мы можем получить наиболее полную информацию о месторасположении сервера, владельце ресурса, регистрации сайта и прочее. Проведенные действия должны быть зафиксированы цепным рядом (последовательным отражением) в протокольной форме следственного действия или оперативно-розыскного мероприятия с указанием значимых полей и реквизитов. После получения всей доступной информации из вышеуказанных источников необходимо направить запросы домен-регистратору – о предоставлении сведений о лице, осуществившем приобретение домена, осуществленных платежах, реквизитах платежей, копий платежных документов (если существуют хостинг-провайдеру сайта, социальной сети – о предоставлении сведений об абоненте, осуществившем платежи в пользу конкретной социальной сети, за определенный период времени посредством реквизитов банковской карты заявителя/потерпевшего; сведений из журналов фиксации сетевой активности (лог-файлов) относительно интересующего интернет ресурса и его владельца Проверка адреса сайта Электронный ресурс сайт портал – Режим доступа https://www.cy-pr.com. Дата обращения 18.04.2017 г. 74 в адрес руководителя компаний-провайдеров о предоставлении сведений о логинах, анкетных данных, адресах абонентских подключений пользователей, сроках и порядке заключения сними договоров на предоставление интернет-соединений; в адрес лица, на которое оформлен сайт, разместивший объявления о продаже товаров, о предоставлении информации о содержании объявления, времени, дате, порядке размещения и удаления его с сайта, адресов, с которых осуществлялись указанные операции, в случае наличия, также данных из журналов серверов. В лог- файлах сервера помимо адреса пользователя и даты запроса имеются сведения о наименовании браузера с указанием его версии, об операционной системе пользователя, что позволяет в последующем ограничить диапазон поиска на компьютере злоумышленника в адрес телефонной компании о предоставлении информации о лице, на которое зарегистрирована сим-карта с абонентским номером, указанным в объявлении. В соответствии с Постановлением Правительства № 1342 О внесении изменений в Правила оказания услуг подвижной связи абоненту которого на основании договора об оказании услуг подвижной связи выделен абонентский номер, имеет право на сохранение и использование данного абонентского номера при заключении нового договора с другим оператором связи при соблюдении условий, установленных Правилами оказания услуг подвижной связи. В этой связи установление принадлежности абонентского номера к номерной емкости определенного оператора связи в рамках отдельного региона необходимо проводить через оператора базы данных перенесенных 75 абонентских номеров. В России с 1 декабря 2013 года таковым является Федеральное государственное унитарное предприятие Центральный научно-исследовательский институт связи, на сайте которого можно установить оператора подвижной связи по номеру телефона абонента. При указании в объявлении в качестве контакта абонентского телефонного номера, адреса электронной почты, следует обратиться с ходатайством в суд о получении сведений о соединениях между абонентами и снятии информации с технических каналов связи. В ходатайстве указывается на необходимость предоставления сведений о лице, на имя которого зарегистрирован абонентский телефонный номер, адрес электронной почты информации о лицах, с которыми осуществляются телефонные переговоры и/или переписка подозреваемого лица с указанием абонентских номеров, адресов их электронной почты содержания переписки за период времени интересующий органы расследования указывается конкретный временной интервал в адрес руководства соответствующих банков об истребовании сведений о лицах, на имя которых зарегистрированы банковские счета с оформленными на них банковскими картами, на которые заявитель/потерпевший перевел денежные средства сведения о движении денежных средств поданным счетам за конкретный период времени о месте осуществления обналичивания денежных средств после совершения преступления в адрес финансовой организации, предприятия, коммерческого банка См О связи Электронный ресурс Федер. закон от 07.07.2003 № 126-ФЗ // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновление 19.01.2018 г. – Вред. Федер. закона от 05.12.2017 г. №386-ФЗ; О порядке оказания услуг телефонной связи (вместе с Правилами оказания услуг телефонной связи) Электронный ресурс Постановление Правительства РФ от 09.12.2014 г. № 1342 // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновление 19.01.2018 г. - Вред. Постановления Правительства от 04.11.2017 г. №1295. Статус операторов связи Электронный ресурс сайт. Центральный научно-исследовательский институт связи – Режим доступа https://zniis.ru/65-bdpn. Дата обращения 19.04.2017 го предоставлении сведений о фактах несанкционированного перечисления и попыток перечисления денежных средств со счетов их клиентов. В ответе должна содержаться следующая информация - дата и время сессии - с каких конкретно адресов осуществлялся внешний доступ, после чего через провайдера или при наличии доступа к компьютерному оборудованию выясняется тип адреса (статический или динамический. Подобная необходимость связана стем, что работа по протоколу ТСРIP не предоставляет возможности существования одновременно двух рабочих компьютерных машин с одинаковыми адресами - при возможности, идентификационный номер жесткого диска (железа) компьютера с регистрацией в логах, с последующим сопоставлением следователем номера в предоставленном ответе и жестким диском компьютера, принадлежащего подозреваемому - название компании, которой принадлежит счет, откуда были несанкционированно списаны денежные средства - номер счета, на который переводились денежные средства - размер несанкционированно переведенных денежных средств - статус по переводу денежных средств, то есть была ли проведена операция или была попытка перевода денежных средств, которая не удалась по техническим причинам, например, отказ провайдера, блокирование операции в рамках автоматического срабатывания каких- либо ограничений финансовой организацией/коммерческим банком подобный вариант будет свидетельствовать о покушении на хищение денежных средств. Поэтому отражение информации финансовой организацией/коммерческим банком в предоставляемом для следователя ответе о том, что операция проведена или операция не проведена, и фиксация следователем данного факта в протоколе осмотра предметов документов) будут указывать на оконченное или неоконченное 77 преступное деяние - серийный номер терминала, который в последующем может совпасть с номерным обозначением жесткого диска компьютера подозреваемого, являющегося неизменным. Именно зафиксированные номерные обозначения жесткого диска компьютера подозреваемого и адрес будут подтверждать факт выхода подозреваемого с принадлежащего ему компьютера либо иного лица сего согласия - название агента, со счета которого переводились денежные средства в финансовую организацию, у которой произошло несанкционированное списание - номер в системе – идентификационный номер клиента, осуществлявшего перевод денежных средств в финансовую организацию, у которой произошло несанкционированное списание. Входе расследования уголовного делана первоначальном этапе может возникнуть еще одна трудность, вызванная удалением интернет-ресурса до момента проведения осмотра интернет-страницы или целого ресурса. В целях возможной фиксации информации с удаленного интернет- ресурса рассмотрим вопрос о возможности восстановления образа интернет- ресурса, в случае если информация, имеющая доказательственное значение, была с него удалена. Восстановить данную информацию полностью или в части в ряде случаев возможно. Поисковые системы Интернета при обработке информационных ресурсов сохраняют копии страниц в своей базе данных. Для получения информации из этой базы данных необходимо зайти на страничку поисковой системы и ввести в качестве запроса адрес удаленной страницы. Поисковый сервер выдаст результаты, и если запрашиваемый ресурс имеет сохраненный дубликат, то по нажатии на ссылку копия или сохраненная копия рядом с результатом поиска мы перейдем к предыдущим копиям страницы и, возможно, найдем необходимую (приложение 2). 78 В случае если в базах данных поисковых систем отсутствует информация, необходимо обратиться к информационному ресурсу http://web.archive.org. По аналогии с поисковыми системами вводим в поисковую строку адрес интересующего ресурса, что позволит при наличии ее копии получить результаты с возможностью отследить изменения на странице за определенный период. Указанный порядок восстановления необходимо отразить в протоколе, после чего проводится осмотр интернет-страницы или ресурса, особенности проведения и фиксации результатов которого мы рассмотрим в следующей главе. Как правило, продуманная и грамотная фиксация электронно-цифровых следов в сети Интернет на первоначальном этапе расследования позволяет выявить данные, указывающие на признаки преступлений рассматриваемого вида, лиц, причастных к их совершению, формальные и неформальные связи между ними, их характеризующие данные, в том числе сетевые псевдонимы (nickname) и посещаемые ресурсы в сети Интернет, в том числе хакерской направленности, средства хищений (компьютеры, программное обеспечение, банковские карты, телефоны, с которых устанавливается связь, автотранспорт и т.п.), что предопределяет успех не только первоначальных следственных действий по закреплению доказательств и задержанию преступников, но и результативность всего предварительного следствия. В частности, фиксация электронно-цифровых следов на первоначальном этапе позволяет создать предпосылки к последующему доказыванию обстоятельств совершения преступлений, а также к выявлению лиц, совершивших преступление либо причастных к его совершению 79 § 2. Алгоритм действий следователя по фиксации электронно- цифровых следов в сети Интернет на последующем этапе расследования Расследование преступлений, совершаемых посредством сети Интернет, требует технических (отраслевых, теоретических знаний, сформированных криминалистической наукой, и практических навыков, полученных в результате раскрытия, расследования уголовных дели опыта работы в сетевом пространстве. Учитывая вышесказанное и придерживаясь системы раскрытия вопроса предыдущего параграфа, рассмотрим значимые аспекты, входящие в тематику текущего вопроса. Незаконное приобретение, хранение материалов порнографического содержания с несовершеннолетними на жестких дисках персональных компьютеров, страницах социальных сетей («ВКонтакте», Одноклассники) в Интернете и распространение аналогичного содержимого путем предоставления неограниченному количеству пользователей конкретной пиринговой сети, социальной сети свободного доступа для просмотра и скачивания указанных материалов Для направления уголовного дела в суд поданной категории дел достаточно будет фиксации доказательственной информации в следующем объеме следственных и процессуальных действий 1. Обыск по месту жительства подозреваемого лица (упомянутый нами в предыдущем параграфе, входе которого необходимо изымать персональные компьютеры, модемы, роутеры, различные форматы дисков, флеш-карты, магнитные и твердотельные (SSD) накопители информации. Не меньший интерес могут представлять мобильные телефоны и планшеты, которые имеют возможность подключения к ресурсам сети Интернет и содержать файлы, представляющие интерес для следствия. Так, А.Л. Осипенко предлагает обобщенный перечень технических объектов, отнеся к ним средства вычислительной техники, в том числе 80 портативные цифровые устройства и средства мобильной связи с организацией доступа к сетевым ресурсам носители компьютерной информации устройства, фиксирующие компьютерные данные, поступающие от различных датчиков (радиочастотных идентификаторов, GPS-трекеров, сенсоров, передающих физиологические показатели и сведения о местоположении, и т.п.), стационарных и мобильных измерительных устройств, систем геопозиционирования, видеонаблюдения и видеофиксации; сетевое оборудование. Нам представляется возможным дополнить приведенный перечень устройствами передачи информации в диапазоне частот, свободном от лицензирования (такими как Bluetooth, NFC, Wi-Fi передатчики. 2. Входе допросов - подозреваемого, обвиняемого, лиц, проживающих совместно с ним - лиц, участвовавших при проведении ОРМ (оперативные сотрудники, представители общественности, специалисты - представителей интернет-провайдера, предоставляющего возможность подключения к сети Интернет - представителя социальной сети - лиц, в показаниях которых возникнет необходимость в рамках расследования конкретного уголовного дела. 3. Выемки документации у подозреваемого, представителя социальной сети, интернет-провайдера, предоставляющего возможность подключения к сети Интернет. 4. Осмотры изъятых в результате ОРМ и обысков объектов, признание их вещественными доказательствами и приобщение к материалам уголовного дела. 69 Осипенко, А.Л. Теория оперативно-розыскной деятельности /А.Л. Осипенко, К.К. Горяинов, В.С. Овчинский. – е изд, перераб. – Москва Норма, 2017. - С. 245. 81 5. Назначение и проведение судебных экспертиз, таких как искусствоведческая, компьютерная, психиатрическая, фоноскопическая, а также ознакомление подозреваемого (обвиняемого, его защитника с соответствующими постановлениями и заключениями экспертиз. Приведенный нами порядок не является исчерпывающими будет зависеть от конкретной следственной ситуации, однако при различиях объемной содержательности конкретных протокольных форм приведенный нами вариант является основным, ноне исключающим отдельных дополнений. Например, в отдельных случаях по усмотрению следователя целесообразно запросить сведения о соединениях абонента с привязкой к базовым станциям, или направить отдельное поручение органу дознания на проведение дополнительных ОРМ, таких как прослушивание телефонных переговоров, снятие информации с технических каналов связи, с целью сбора дополнительных доказательств вины в инкриминируемом преступлении. При изучении следственной и судебной практики нами определен самый распространенный аргумент подозреваемых обвиняемых, утверждающих о том, что рассматриваемая категория материалов порнографического характера была скачана случайно, в результате параллельного скачивания интересующего контента – музыки, фильмов, программных продуктов, компьютерных игр. Однако несостоятельность подобного аргумента, на наш взгляд, можно подтвердить в рамках фиксации как входе оперативно-розыскных мероприятий, таки входе следственных действий (обыск, выемка, допрос, осмотр предметов документов. Выражаться подобный контраргумент должен в виде обязательного отражения поименованного места в системе, то есть названия папки, в которой размещен видеофайл. Если видеофайлы или фотоматериалы скачаны случайно, вовремя скачивания другого контента, то они должны быть расположены в папке скачанного контента, ноне в папке для общего доступа 82 за исключением скачиваемых в реальный момент времени файлов, они одновременно и скачиваются, и распространяются, о чем мы говорили в предыдущем параграфе. Исключение возможно в случае, если пользователь сам принудительно не указал папку для скачанных файлов в качестве общедоступного ресурса, о чем мы сможем узнать, просмотрев настройки программы (Приложение 3). В такой ситуации необходимо обратить внимание на временные характеристики файлов в случае если они находятся на носителе информации длительный срок, то следуют предпосылки, что файл распространялся посети умышленно, в связи с чем данный факт должен найти отражение в протокольной форме. Необходимо внимательно относиться к процессу фиксации электронно- цифровых следов в качестве доказательств, поскольку грамотная фиксация рассматриваемых следов может стать контраргументом доводам подозреваемого, обвиняемого, желающего запутать следствие с учетом собственных глубоких знаний технических особенностей работы сети Интернет и компьютерной системы. Так, входе судебного разбирательства один обвиняемый заявил, что файлы порнографического содержания с участием несовершеннолетних не скачивала сами файлы, обнаруженные у него, могли попасть к нему на жесткий диск вовремя скачивания информации посредством загрузки файлов по ссылкам в момент, когда он одновременно ставил на скачивание большое количество информации. Содержимое скачиваемого, поставленного в загрузку по заданным параметрам поиска, заранее неизвестно, в том числе и по причине совпадений имен файлов на разных языках. Файлы, указанные в обвинительном заключении, никогда не просматривал, об их содержании не знал, не удалял по причине отсутствия времени для просмотра всех загруженных файлов. При этом вовремя скачивания файлов они автоматически начинают транслироваться другим пользователям, даже если файл только начал скачиваться, то есть раздача происходит из папок, доступ к 83 которым, с учетом технических аспектов работы, ограничить он не может. Далее обвиняемый обратил внимание, что согласно снимкам экрана (скриншотам), имеющимся в актах наблюдения и сборов образцов для сравнительного исследования, скачивание файлов, указанных в обвинении, начиналось сего адреса. Затем добавлялись иные сетевые ресурсы, являющиеся источниками данного файла, что ставит под сомнение наличие у него на компьютере скачиваемого файла в полном объеме на некоторых скриншотах имеется указание на наличие у него всего лишь 3-5% содержимого файла, распространение которого ему вменяется отличаются размеры файла, поставленного на загрузку и фактически загруженного наряде скриншотов имеется информация о наличии в хранилище, куда происходит скачивание файлов в рамках оперативно-розыскных мероприятий, иного рода информации, не относящейся к делу в рамках производства в ряде ОРМ на снимках экрана присутствуют сведения о наличии дополнительных накопителей информации, установленных на компьютере, ноне указанных в перечне технических средств, используемых при ОРМ; адрес компьютера, на котором осуществлен запуск анализирующей программы, на скриншотах не соответствует адресу, указанному в акте нет сведений о настройках данной программы и соответствующих скриншотов с этими настройками нив одном из материалов оперативно-розыскных мероприятий не фигурируют контрольные суммы файлов, что ставит под сомнение утверждение обвинения, что данные файлы скачаны именно сего (обвиняемого) компьютера и это одни и те же файлы. Помимо этого обвиняемый пояснил, что входе судебного разбирательства им была получена консультация специалиста автономной некоммерческой организации Поволжская лаборатория судебной экспертизы. Специалист изучил представленные ему снимки экрана и по заданным обвиняемым вопросам пояснил, что по скриншотам, полученным входе оперативно-розыскных мероприятий в Великом Новгороде и Хабаровске, нельзя установить факт скачивания файлов только из одного источника, принадлежащего обвиняемому входе ОРМ в Великом Новгороде, Воронеже, Твери нет скриншотов с размещенным на диске ранее скачанным файлом, что ставит под сомнение тот факт, что скачанный входе ОРМ и записанный на диск файл является одними тем жена многих снимках экрана отсутствуют штампы времени в ряде скриншотов отражено наличие запущенного и работающего графического редактора, который отсутствует в перечне технических средств, указанных в акте ОРМ, что свидетельствует о том, что время проведения ОРМ могло быть выставлено вручную, а изображение скриншотов – модифицировано по информации, содержащейся на скриншотах, нельзя точно установить время начала и окончания скачивания файлов, а также узнать продолжительность скачивания файлов 70 Учитывая приведенные особенности, суд может поставить под сомнение представленные доказательства, что не позволит ему сделать однозначный вывод, имело ли место умышленное распространение порнографических материалов с участием несовершеннолетних или они были скачаны случайно в результате скачивания иной информации. Так, в результате ошибочных действий в порядке фиксации, а именно при неотражении нужной информации, суд может не признать представленную в материалах уголовного дела информацию как доказательственную, истолковав все сомнения в пользу обвиняемого. Разумно в подобных ситуациях допрашивать экспертов или специалистов, зафиксировав в протоколе принцип и особенности работы пользователя с программами-клиентами пиринговых сетей, которые преимущественно используются для обмена файлами в сети Интернет по усмотрению самими пользователями, самостоятельно решающими, какие Архив Ленинградского районного суда г. Пензы. Дело № 1-69/2015 в отношении Волохова В.В., обвиняемого в совершении преступлений, предусмотренных ст. 242.1 ч п. г, 242.1 ч п. б УК РФ. 85 файлы выкладывать в соответствующую сеть, а какие закачивать себе на компьютер. Работа подобных приложений исключает возможность скачать файлы из сети самостоятельно, без воздействия пользователя. Для получения информации об адресах компьютера, адресах устройств, серверах имен (DNS), иных сетевых настройках необходимо в командной строке (для надо набрать сочетание клавиши ввести в появившуюся строку «cmd», для Linux– в графическом режиме открыть терминал) выполнить команды «ipconfig /all» для Windows и «ifconfig» для Linux (Приложение 4). На вышеуказанных изображениях адрес находится в строках для Linux – inetaddr, для Windows – IPv4 – адрес, адрес в строках для Linux – HWaddr, для Windows – физический адрес. Стоит обратить внимание при фиксации на информативность и современные возможности, связанные с пересечением мобильной связи и сети Интернет. Для этого необходимо выяснить абонентские номера подозреваемого (обвиняемого) из договора об оказании услуг связи, который будет изъят входе выемки у интернет-провайдера, входе допросов подозреваемого (обвиняемого, его родственников, знакомых или в результате запроса сведений у оператора связи. В рамках этого направления стоит выяснить у оператора мобильной связи, на кого зарегистрированы представленные абонентские номера, с требованием предоставить информацию о соединениях с указанием базовых станций. После получения запрашиваемой информации следователь, проанализировав предоставленные данные, фиксирует в протоколе осмотра предметов (документов) интересующее время с привязкой к конкретной базовой станции, подтверждая, таким образом, возможность нахождения подозреваемого (обвиняемого, например, по месту жительства или работы в интересующий следствие временной интервал функционирования компьютерной системы с подключением в сеть Интернет, который также 86 должен быть отражен в соответствующем протоколе. Фиксация факта функционирования компьютерной системы с подключением в сеть Интернет возможна посредством направления запроса интернет-провайдеру о соединениях абонента или путем анализа журналов работы операционной системы входе осмотра системного блока. Специфической особенностью при отражении информации в материалах оперативной проверки и впоследствии уголовного дела является МАС-адрес 71 электронно-вычислительной машины, с которой осуществляется выход в сеть Интернет. Также данные о МАС-адресе устройства имеются у интернет-провайдера, предоставившего возможность пользования услугами сети Интернет. Эта информация предоставляется следователю по запросу, в котором следует отразить необходимость предоставления сведений о МАС- адресе устройства, с которого осуществлялся выход в сеть Интернет подозреваемым, вовремя проведения оперативно-розыскных мероприятий. МАС-адрес имеют не только персональные компьютеры, ноутбуки, планшеты, но и мобильные телефоны, модемы, wi-fi роутеры и иные устройства с возможностью доступа к сети Интернет, поэтому при производстве обыскав жилище указанные выше устройства должны изыматься следователем с указанием в протоколе внешних характеристик. Впоследствии, входе осмотра, следует выяснить МАС-адрес и отразить его в протоколе. По окончании предварительного расследования в обвинительном заключении при правильной последовательности можно будет четко проследить цепочку взаимодействий между оборудованием, обладающим возможностью доступа к сети Интернет, и преступными действиями адрес от англ. Media Access Control — управление доступом к среде – уникальный идентификационный шестибайтный номер, который присваивается оборудованию с интерфейсом или сетевой картой, имеющего возможность выхода в сетевое пространство стандарта Ethernet. Указанный номер идентифицирует получателя и отправителя кадра в сетевом пространстве. Уникальность MAC- адресов достигается на производстве, когда производитель обязан получить в координирующем комитете IEEE Registration Authority диапазон из шестнадцати миллионов (2 24 ) адресов и, по мере исчерпания выделенных адресов, может запросить новый диапазон. Поэтому по трѐм старшим байтам MAC- адреса можно определить производителя, в связи с чем существуют таблицы, посредством которых возможно определить производителя по адресу Электронный ресурс / wikipedia: электронная энциклопедия сайт. – Режим доступа адрес. Дата обращения г 87 обвиняемого. Так, согласно приговору Ленинградского районного суда г. Пензы в материалах уголовного дела имеются снимки экрана, сделанные при проведении оперативно-розыскного мероприятия Сбор образцов для сравнительного исследования, водном приложении имеется скриншот фрагмента видеозаписи РЕГИНА АС ШКОЛЫ, в нижней части снимка имеется надпись добавлена 9 апреля 2012 в 12:12». В следующем приложении имеется снимок экрана с фрагментом видеозаписи «1», в нижней части снимка имеется надпись добавлена 31 марта 2012 в 18:51». Из информации о соединениях с указанием базовых станций по абонентскому номеру 7963******, предоставленной ОАО «Вымпелком»,за указанные промежутки времени установлено, что в период, относящийся к добавлению вышеуказанных видеозаписей на страницу Аб. ДР. в социальной сети «ВКонтакте», данный абонент находился по месту своего проживания. Помимо этого в качестве свидетеля поэтому уголовному делу был допрошен заместитель руководителя службы по взаимодействию с государственными органами ООО «ВКонтакте» Ч.Н.В. На вопрос следователя о том, как определить когда и кем добавлен в раздел Мои Видеозаписи страницы Денис Сергеевич Б (id33****) видеоролик «9- летние дети пытаются заняться любовью, он сообщил, что данный видеоролик добавлен самим пользователем 10.10.2011 в 02 часа 54 минуты 72 Данное утверждение Ч.Н.В. представляется спорными лишь косвенно указывает на причастность к преступлению. Для определения факта распространения нелегального контента необходимо учитывать дополнительные факторы, такие как географическое местоположение абонента (возможно установить по адресу, технические средства, с которых был осуществлен вход на информационный ресурса не только то, 72 Ленинградский районный суд г. Пензы. Дело № 1-69/2015 в отношении Волохова В.В., обвиняемого в совершении преступлений, предусмотренных ст. 242.1 ч п. г, 242.1 ч п. б УК РФ. 88 что вход был осуществлен под конкретным пользователем социальной сети, учитывая то, что учетные записи пользователей данной социальной сети были неоднократно скомпрометированы. Поэтому необходима последовательная фиксация в материалах уголовного дела порядка установления лица, совершившего преступления, который включает в себя не только процессуальные и следственные действия, но и официальную переписку между организациями, представляющими оперативный и следственный интерес. Сведения, зафиксированные в официальной переписке между организациями, являющимися владельцами информационных ресурсов и следственными органами, предоставляют возможность установить лиц, непосредственно или косвенно причастных к преступлению. В рамках расследования хищения денежных средств с банковского, электронного счетов, совершѐнных при использовании электронных сетевых интернет-ресурсов тайно либо путем обмана на последующих этапах расследования стоит обратить особое внимание на информацию, которая будет предоставлена сотовыми операторами, интернет-провайдерами, социальными сетями, администраторами поисковых систем сети Интернет, сайтами в рамках ответов на запросы следствия. Особая роль на данном этапе расследования должна отводиться аналитической работе следователя в рамках изучения получаемых ответов на запросы, направленных на первоначальном этапе расследования. Так, например, получив запрашиваемые сведения, необходимо учитывать тот факт, что компания-провайдер может предоставить информацию о принадлежности одного итого же адреса единовременно нескольким пользователям. Поэтому при отражении подобной множественности компанией-провайдером следователю надлежит провести следственные 73 Степура, Ю.И. Использование информационно-аналитической работы в организации расследования преступлений автореф. дис. … канд. юрид. наук 12.00.11, 12.00.09/ Степура Юрий Иванович. - Москва, 2011. - С. 11-23. 89 действия по всем адресным координатам пользователей, сообщенных в ответе на предварительно направленный запрос. Также необходимо при получении информации от администратора сайта, на котором размещалось объявление по продаже товаров, об IP- адресах, с которых осуществлялся доступна интересующий следствие интернет-сайт, и, задействовав базу WHOIS (открытого доступа, определить интернет-провайдеров, в чей диапазон входят предоставленные адреса. Использовать можно любой другой ресурс, схожий сними по функциональности сервиса, позволяющий установить принадлежность IP- адреса конкретному провайдеру. Затем следует направить новые запросы интернет-провайдеру о принадлежности адресов. Основным звеном в доказывании по уголовным делам о хищениях денежных средств, совершенных с использованием интернет-технологий, является определение местонахождения электронно-вычислительной техники, используемой как орудие преступления. При помощи такой техники лица, совершающие преступления, управляют электронными счетами различных платежных систем и финансовых организаций или ведут переписку с потерпевшими. Поэтому необходимо запрашивать сведения о движении денежных средств в кредитных организациях или у оператора платежной системы на основании запроса следователя, согласованного с руководителем следственного органа, ив соответствии с нормами законодательства 74 Информацию, полученную указанным выше способом, можно применять и при расследовании хищения денежных средств посредством ресурсов удаленного доступа. При изучении полученной из банков См О национальной платежной системе Электронный ресурс Федер. закон от 27.06.2011 № 161-ФЗ // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновление 20.01.2018. – Вред. Федер. закона от 18.07.2017. № 176-ФЗ. - Ст. 26; О банках и банковской деятельности[Электронный ресурс Федер. закон от 02.12.1990 № 395-1 // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновление 20.01.2018. - Вред. Федер. закона от 29.07.2017 № 281-ФЗ. - Ст. 26. 90 информации о движении денежных средств по счету (на который они переведены потерпевшим) банковской карты подозреваемого следователем могут быть установлены латентные преступления по аналогичным фактам, а также подставные лица, на которых были оформлены счета и банковские карты. Однако входе изученной нами следственной практики установлено, что в процессе расследования преступлений, совершенных с использованием интернет-технологий, у следователей возникают сложности в истребовании информации у кредитных организаций по судебным решениям, поскольку срок исполнения запросов указанными организациями составлял более одного месяца, что в свою очередь негативно отражается на сроках и результатах предварительного расследования. Решить указанные сложности возможно в рамках ограничения сроков исполнения запросов следователей. На данном этапе расследования проводится аналитика ответов, которые предоставляются указанными нами в предыдущем параграфе адресатами по запросам. При этом аналитическая работа следователя с предоставленными ответами находит свое отражение в протоколах осмотра документов. Особое внимание при анализе и последующей протокольной фиксации следует уделить сведениям - о банковских картах, сайтах, имеющих привязки к конкретным счетами платежным системам - о лог-файлах, почтовых ящиках и адресах, с которых осуществлялся выход в сеть Интернет - о программном обеспечении дистанционного банковского обслуживания - о том, имелся ли физический доступ к компьютеру посторонних лиц - об осведомленности иными лицами, о наличии доступа к платежным системам, системам дистанционного банковского обслуживания, реквизитов доступа к ним - о наличии программно-аппаратных средств защиты информации. У пользователей банковскими картами, на счета которых были 91 переведены денежные средства потерпевшего по месту жительства, а в особых случаях – по месту работы изымаются компьютерная техника, модемы, электронные носители информации, мобильные телефоны, сим- карты, договоры на предоставление услуг по интернет-соединениям, иные предметы и документы, содержащие информацию, способствующую раскрытию преступления и расследованию уголовного дела. Впоследствии проводятся осмотры изъятого входе обысков и выемок. Вопросы фиксации доказательственной информации в рамках изъятия средств вычислительной техники будут рассмотрены в следующей главе. Из лог-файлов, предоставленных компанией (ООО «Yandex», «Google», «Mail» и другие) в чьем поле зарегистрирован электронный почтовый ящик подозреваемого, обвиняемого, устанавливаются дата и время использования электронного почтового ящика. Анализируется информация, с каких IP- адресов осуществлялся вход в почтовый ящик, с проведением параллельной аналитической работы и сопоставлением данных, предоставленных финансовой организацией, со счетов которой осуществлялось несанкционированное списание денежных средств, и предоставленных ими адресов. В случае если на почтовый ящик подозреваемого лица неоднократно заходили с различных адресов и эта адресная вариативность совпадает с многообразием адресов, предоставленных финансовой организацией, со счетов которой осуществлялось несанкционированное списание денежных средств, то данное совпадение будет свидетельствовать о том, что денежные средства, несанкционированно списанные со счетов финансовой организации, были похищены одними тем же лицом, которому принадлежал почтовый ящик. Удобство технологий электронного почтового ящика заключается не только вскорости пересылки электронных сообщений, простоте сервиса, высокой надежности доставки сообщений, но ив возможности доступа к почтовому сервису из любой точки мира при наличии подключенного 92 компьютерного или мобильного устройства к сети Интернет. Ввод своего логина и пароля позволяет пользователю открыть свой почтовый ящик, просмотреть почту, отправить сообщение и т.д. и препятствует возможности третьих лиц просмотреть почтовую переписку и иную информацию, содержащуюся в почтовом ящике. Доступ пользователя к почтовому ящику с различных адресов позволяет сделать вывод о том, что выход в сеть Интернет осуществлялся посредством предоставления услуг различными компаниями-провайдерами либо пользователю предоставляются динамичные адреса. А при наличии указания на лог-файлы gprs (протокол, предоставляющий доступ к сети Интернет посредством сотовой связи) можно считать, что выход осуществлялся с мобильного телефона. Протокол gprs применяет динамическое распределение адресов, то есть на каждую рабочую сессию выделяется свободный адрес при завершении работы одним пользователем в рамках сессии предоставленный ему адрес становится свободным. В рамках последующих рабочих сессий пользователю будут предоставляться другие адреса, а повторное предоставление одного итого же адреса маловероятно 75 Лица, обладающие значительными познаниями в сфере компьютерных технологий и системе функционирования сетевого пространства, использующие при совершении преступных деяний глубокие знания в указанных областях, пытаются скрыть свои адреса, используя прокси- серверы. Прокси-сервер способствует анонимной работе в сети Интернет. Прокси-сервер – это серверное оборудование со специально настроенным программным обеспечением, работающее посредством ресурсов сети Интернет, собирающее и хранящее распространенные запросы в своей базе данных. Прокси-сервер часто создают для того, чтобы сделать свою работу в 75 Структура Электронный ресурс]:[сайт] Портал о современных технологиях мобильной и беспроводной связи – Режим доступа http://1234g.ru/2g/gprs/struktura-gprs. Дата обращения 21.05.2017 г. 93 сети Интернет анонимной. Особенность анонимной работы заключается в следующем. Пользователь, заходя на прокси-сервер, может затребовать необходимую информацию, и если она отсутствует в специальной области на диске или в операционной памяти компьютера, предназначенной для временного хранения информации, то уже прокси-сервер запрашивает у исходящего сервера в сети Интернет, при этом запрос регистрируется от IP- адреса прокси-сервера, а не от адреса пользователя, задающего запрос. То есть не только компьютерному или мобильному устройству, подключенному к сети Интернет, присваивается адрес провайдером, но и прокси-серверу. В основном прокси-сервер имеет статический адрес и регистрируется в Сети на общих основаниях. Поэтому для того чтобы установить, является ли какое-либо устройство с адресом в Сети прокси-сервером, необходимо определить, соответствует ли оно одному или нескольким из следующих критериев устройство значится в списках прокси-серверов или в чѐрных списках (например, https://www.rbls.org/); если специальные ресурсы в сети Интернет вроде http://www.checker.freeproxy.ru/checker/) определяют адрес как открытый прокси; если описание адреса на сервисе WHOIS открыто утверждает, что это прокси. Злоумышленники, обладающие значительными знаниями в области работы интернет-технологий и интернет-систем, могут подставлять под уголовную ответственность непричастных лиц, зная десятки различных способов, самыми распространенными из которых являются подмены IP- адресов правонарушителя на адрес законопослушного гражданина. Поэтому при сборе и фиксации доказательственной информации следователь изначально должен понимать, что адрес рассылки впоследствии будет лежать в основе обвинения. 94 Действия лиц, совершающих преступления и скрывающих их подобным образом, очень сложно доказать, что подтверждается многочисленной судебной практикой. Так, например, обвиняемый Т, имея специальные познания в области компьютерной техники и программного обеспечения, обладая навыками программирования, имея опыт работы в сети Интернет, в течение 5 лет совершенствовал его в процессе ежедневного использования персонального компьютера. Впоследствии Т. на протяжении 1,5 лет совершал преступления при следующих обстоятельствах. На сайте сервис-провайдера зарегистрировал доменное имя, разместил его на ресурсах хостинговой компании, принадлежащей ООО «АВ». Интернет-ресурсу «АБ», принадлежащему обвиняемому Т, присвоен адрес 192.xxx.xxx.64. В течение года Т. предоставлял неустановленным лицам за материальное вознаграждение программное обеспечение, относящееся к вредоносным компьютерным программам типа «Троян», предназначенное для скрытого размещения на жестком диске компьютера жертвы, перехвата номеров банковских транзакций и хищения иной конфиденциальной информации (TAN-граббинг), наблюдения за действиями пользователя в сети Интернет, осуществления переадресации интернет-страниц, отсылки собранной скопированной) информации на сервер обвиняемого. В этот же период приобрел функционал (адрес размещения интернет-ресурса, учетное имя и пароль администратора, необходимый для редактирования индексной интернет-страницы, с целью записи в него i-frame (ай-фрейм) кода (код, содержащий ссылку на интернет-ресурс, имеющий вредоносную программу) для инфицирования ПЭВМ пользователей, посещающих интернет-страницы, и хищения у них конфиденциальной информации. Используя приобретенный функционал, входил на ресурс компьютерной сети, и получал полный доступ к его содержимому. Кроме того, для привлечения пользователей ПЭВМ на интернет-ресурс «АБ» для распространения посредством сети 95 Интернет указанных вредоносных компьютерных программ модифицировал ряд ресурсов сети Интернет. Пользователи ЭВМ, входившие на модифицированные Т. ресурсы, автоматически, без их ведома и согласия, соединялись с ресурсом «АБ», ссылка на который прописана в индексной странице. В процессе соединения с ресурсом пользователей скрыто загружалась вредоносная программа. Так, обвиняемым Т. было заражено вредоносными программами 2059 ЭВМ, подключенных к сети Интернет. Среди зараженных компьютеров находились компьютеры, принадлежащие индивидуальным предпринимателями юридическим лицам, у которых компьютеры, подключенные к сети Интернет, использовались для проверки совершенных за сутки транзакций и движения денежных средств. В результате работы распространенных Т. вредоносных компьютерных программ были получены логины, пароли и номера терминалов, определенные как аналог личной подписи агентов платежной системы финансовой организации, что предоставляло полный доступ к управлению их персональными финансовыми счетами в платежной системе финансовой организации. При этом обвиняемый Т. осуществлял преступную деятельность как с адреса, зарегистрированного на его имя, таки с прокси- серверов, скрывая тем самым свой реальный адрес. В результате расследования уголовного дела по подозрению Т. в совершении значительного числа преступлений, совершѐнных посредством использования ресурсов сети Интернет, вина Т. была доказана только по шести преступным эпизодам, связанным с распространением программ для ЭВМ, заведомо приводящих к несанкционированному копированию информации, нарушению работы ЭВМ, системы ЭВМ и их сети внесением изменений в существующие программы для ЭВМ, заведомо приводящих к несанкционированным модификациям, копированию информации, нарушению работы ЭВМ, системы ЭВМ и их сети, использованию и распространению таких программ с использованием программ для ЭВМ, 96 заведомо приводящих к несанкционированному копированию информации, нарушению работы ЭВМ, системы ЭВМ и их сети с хищением денежных средств со счетов финансовой организации путем обмана. При этом следователи смогли доказать виновность Т. только в части преступной деятельности, где четко прослеживались адреса, зарегистрированные интернет-провайдерами на его имя. Во всех остальных случаях уголовное преследование было прекращено или приостановлено 76 Сущность описанной проблемы заключается в следующем лица, совершающие преступления, производят все операции с подконтрольными им счетами и аккаунтами с использованием специализированного программного обеспечения, позволяющего производить обращение к ресурсам через серверы, расположенные за территорией России. В таком случае операторы ресурса в сети Интернет фиксируют адрес прокси- сервера, а не лица, отправившего конкретную команду. Выходом из подобной ситуации является направление запроса об оказании правовой помощи в страну, в которой зарегистрирован провайдер, с адреса которого передана команда на проведение операции, с целью выяснения сведений об адресе обращения к серверу, который может быть истинным адресом преступника. Также преступниками может быть осуществлена подмена адреса. Так как скрыть его наличие в сети Интернет невозможно, его с легкостью меняют как средствами операционных систем, например через реестр или настройки драйвера, таки с помощью специальных программных утилит. Следует учесть, что фактически адрес устройства не изменяется, потому что это физический адрес устройства меняется так называемый программный физический адрес устройства, но для злоумышленников этого достаточно, чтобы стать анонимными в Сети. Понять, использует злоумышленник настоящий или фиктивный адрес, можно Новгородский районный суд Новгородской области // дело № 1-13/11 в отношении Трегуба В.С., обвиняемого в совершении преступлений, предусмотренных ст. 273 ч. 1, 159 ч. 3 УКРФ. 97 непосредственно при осмотре устройства. Для этого необходимо сравнить адрес, выводимый системой, и адрес, указанный на самом устройстве, или же воспользоваться любой утилитой для тестирования ПК, например или Astra. Указанная анонимность позволяет быть неизвестным пользователем сети Интернет и при совершении финансовых операций, и при обращении электронных денег. В последнее время все большее распространение и популярность в сетевом пространстве набирают системы хранения и передачи валют, это так называемые электронные деньги, которые возможно перечислить на счета различных платежных систем. В обобщенном виде подход зарубежного законодательства выглядит так, что с одной стороны электронные деньги представляют собой особые средства обращения традиционных и частных валют, которые используются для упрощения финансовых расчетов при оплате товаров и услуг в сети Интернет, с другой – обязательства эмитента, которые исполняются в традиционных, не электронных деньгах. Сточки зрения российского законодательства электронные деньги рассматриваются с иной позиции. Так, законодатель определил электронные денежные средства как денежные средства, которые предварительно предоставлены одним лицом (лицом, предоставившим денежные средства) другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета (обязанному лицу, для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами ив отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа 77 European Central Bank. Electronic money institutions current trends, regulatory issues and future prospects / European Central Bank // Legal Working Paper 184 Series. European Central Bank, 2008. – №7. - РО национальной платежной системе Электронный ресурс Федер. закон от 27.06.2011 г. № 161-ФЗ // Справочно-правовая система «КонсультанатПлюс». – Электрон. поисковая программа. – Последнее обновление 20.01.2018. – Вред. Федер. закона от 18.07.2017 г. № 176-ФЗ. 98 Электронные деньги не являются персонифицированным средством платежа. Их обращение может осуществляться как отдельно от банковских денег, таки в банковских платежных системах. В основном, обращение электронных денег осуществляется посредством компьютерных сетей, Интернета, электронных кошельков, платежных карт. Обусловленностью обращения электронных денег является частичная анонимность, мобильность владельца электронных средств, который географически может быть не привязан к определенному местоположению, а может осуществлять расчеты по своему счету где угодно, поэтому определить личность и местонахождение плательщика очень сложно, а иногда и не представляется возможным, поскольку пройден значительный временной интервал. Для операций с небольшими суммами средству каждой платежной системы индивидуальный нижний порог. В основном от пользователя не требуется ничего, кроме прохождения простой регистрации, где нет необходимости передавать данные, удостоверяющие личность. Для операций с более высокими суммами необходимо указать дополнительные сведения, например номер мобильного телефона. Так, Яндекс.Кошелек при указании номера мобильного телефона позволяет работать с суммами, оборот которых в месяц составляет 60 000 рублей 79 Таким образом, идентификатор участника платежной системы персонифицирован, однако не может являться достоверным с позиции установления истинной личности участника. В этой связи следователю необходимо в рамках дальнейшей грамотной фиксации значимых моментов предварительно изучить особенности проведения расчетов в конкретной платежной системе, обратив внимание, наряд отличительных особенностей, отражающих работу с платежной системой лиц, интересных для следствия. Выше мы затронули аспекты, по которым 79 Яндекс.Деньги Электронный ресурс сайт. – Режим доступа https://money.yandex.ru/new. Дата обращения 30.05.2017 г. 99 взаимодействует пользователь с Яндекс.Кошельком, дальнейшую мысль отразим на примере другой платежной системы -WebMoney. В этой связи в материалах уголовного дела должно найти отражение следующее 1. Уникальный идентификационный номер участника системы (в системе WebMoney идентификатор состоит из 12 цифр с префиксом. Учитывая его, следователю необходимо знать об особенности его атрибута – аттестата участника. В большинстве случаев электронные платежные системы предоставляют возможность регистрироваться участнику системы под любыми данными, то есть указанные пользователем данные не проверяются. Обладатель идентификатора самостоятельно выбирает пароль и определяет место для хранения файлов с секретным ключом и кошельками, внося в идентификационные поля программы сведения о себе и изменения в случае необходимости. 2. С учетом первого пункта необходимо понимать, что идентификатор является уникальным обозначением участника. Ау каждого участника системы фиксируется адрес компьютера, обеспечивающего сеанс работы, хранящийся в лог-файлах на сервере головной организации в течение двух- трех месяцев. адрес определяется серверами сертификации системы при подключении клиентской программы и записывается в журнал входов системы. Поскольку интернет-протокол tcp/ip имеет особые ограничения рассмотренные нами ранее, то возможны случаи подключения к сети Интернет через несколько компьютеров, в этом случае определяется адрес последнего компьютера в цепочке. Системы могут обладать рядом сервисных возможностей - ограничение адресов, с которых разрешен вход (подобное ограничение, дает преимущество с криминалистической позиции для следствия, выражающееся в сужении круга пользователей и снижении Электронный ресурс сайт. – Режим доступа. Дата обращения 30.05.2017 г. 100 нагрузки на следователя, и переориентирует усилия в рамках следственной работы - режим активации места хранения WebMoneyKeeper по e-mail (система потребует ввести код активации, который присылается на адрес электронной почты, указанный участником вовремя регистрации в системе. Данное обстоятельство будет свидетельствовать об уровне знаний пользователя и о том, что операции в системе проводились именно им. Вывести средства из кошельков на конкретном компьютере будет невозможно без введения кода активации. Так, например, для идентификации компьютера WebMoneyKeeper сканирует оборудование, настройки операционной системы и на базе нее формирует уникальное 512-битное число, представляющее из себя контрольную сумму, состоящую из группы цифровых и буквенных символов (хеш-кодов), сформированных из описания параметров компьютерного оборудования пользователя и параметров операционной системы. Хеш-код хранится в системе WebMoneyTransfer вместе с кодом и датой активации. Подобные возможности позволяют однозначно идентифицировать компьютер пользователя - возможность хранения ключей на смарт-картах и ключах. 3. Обязательное требование для большинства систем (в том числе и WebMoney) при направлении заявки на перевод титульных знаков (денежных единиц) с электронного кошелька в системе на кошелек обменного пункта – указание паспортных данных получателя средств. Только при соответствии указанных данных и сведений в паспорте предъявителя выдаются наличные денежные средства. Учитывая приведенные особенности, следователю необходимо истребовать информацию от представителей платежной системы о движении электронных денег. Подобная информация, с криминалистической позиции, может оказаться значимой. Так, например если производилось обналичивание электронных денег, тона обменном пункте хранятся паспортные данные при переводе на банковский счет (который всегда зарегистрирован на конкретное лицо) запрашиваются сведения о лице, на чье имя зарегистрирован счет если производились покупки в интернет-магазинах, то через представителя магазина можно выяснить сведения о получателе особую криминалистическую значимость приобретает адрес получателя на пункте самовывоза, возможно, ведется видеонаблюдение с записью, которая впоследствии может иметь доказательственное значение для следствия оплата различных подписок (например, доступ к расширенным возможностям просмотра фильмов на сайтах при регистрации необходимо указывать личные данные, очень часто это номер мобильного телефона. Объемы информации, хранящейся в электронной базе архива на сервере платежной системы, могут позволить сделать выводы о местонахождении аттестованных пользователей системы. Они обладают аттестатами от начального и выше по существующей в системе классификации, свидетельствующей об уровне подготовки пользователя. Техническими средствами системы определить местонахождение пользователя системы не представляется возможным. В электронной базе данных архива системы находятся сведения, которые сообщили участники системы при регистрации, а также информация о сеансах связи с платежной системой, информация о проведенных финансовых операциях и их участниках, информация об устройствах, с которых осуществлялось подключение к платежной системе. С учетом вышеизложенного полагаем, что криминалистическую цепочку электронно-цифровых следов и криминалистически значимой информации можно выстраивать не только в рамках проведения 102 следственных действий, но ив рамках переписки (запросов) с официальными представителями платежных систем о предоставлении сведений, интересующих следствие. Необходимо отметить, что ряд платежных систем имеет программное обеспечение Клиент платежной системы, которое может быть исполнено в виде обычного приложения, мобильного приложения или интернет-клиента. Доступ к программному обеспечению осуществляется через web-браузер. Несмотря на то, что, как правило, получить полноценный доступ к нему невозможно, следователь может установить уникальный идентификатор пользователя платежной системы, который для удобства пользователей клиента сохраняется системой при проставлении в настройках программы опции сохранения идентификационных данных пользователя. Для этого следователю необходимо найти установленный Клиент на ПЭВМ подозреваемого или мобильном телефоне либо открыть страничку клиента в браузере на ПЭВМ злоумышленника и запустить его, в окне программного обеспечения в поле с названиями Пользователь, Идентификатор, «Login, Id» будет идентификатор пользователя платежной системы. Впоследствии перечисленные идентификаторы могут быть положены в основу установочной части постановления о привлечении лица в качестве обвиняемого, в связи с чем указанные или иные имеющие значение идентификационные данные должны быть обязательно зафиксированы в материалах уголовного дела. Таким образом, мы постарались отразить значимые моменты работы конкретных платежных систем и отдельные обобщения, касающиеся большинства платежных систем и электронных денег. Частные случаи, с которыми следователь сталкивается при расследовании дел рассматриваемых категорий, целесообразно рассматривать с привлечением специалистов. Подводя итог рассмотренным нами во втором параграфе вопросам, мы пришли к выводу о том, что 103 1. Сеть Интернет представляет собой всемирную информационную компьютерную сеть, именуемую в повседневном общении - мировой паутиной. Она аккумулирует огромное количество компьютерных сетей, работающих по единым правилами включает пользователей практически из всех стран мира. Однако единство правил относится в значительной степени к технической составляющей, чем к правовой, поскольку по целому ряду правовых вопросов нет международного единства мнений. В связи с этим перед следователем стоит глобальная задача расследовать преступления совершенные с использованием сети Интернет, опираясь на национальное законодательство, нов рамках международного взаимодействия учитывать и законодательство страны, с которой необходимо осуществлять международное сотрудничество, направленное на фиксацию доказательств в рамках расследования уголовного дела. Анализ уголовных дел по преступлениям данной категории свидетельствует о том, что преступления имеют межрегиональный и международный характер, что также негативно сказывается на результатах расследования уголовных дел по причине сложности обеспечения своевременности производства следственных действий и их фиксации. 2. При фиксации доказательственной информации, хранящейся на ресурсах сети Интернет, следователю необходимо учитывать уголовно- процессуальные нормы, общие криминалистические рекомендации, технические особенности работы компьютерных систем и сетевого интернет- пространства. 3. Большую роль в расследовании интернет-преступлений и преступлений, в результате расследования которых обнаруживается информация, хранящаяся на ресурсах сети Интернет, играет провайдер, значимость которого при предоставлении сведений о сетях, клиентах и их активности трудно переоценить. Предоставленные компанией-провайдером сведения укажут, что конкретно с компьютерной техники запрашиваемого 104 абонента, находящейся по определенному адресу, осуществлялись онлайн- транзакции, велась переписка и т. д. Поэтому взаимодействие с сотрудниками операторов связи очень важно на всех этапах расследования преступлений – от первоначальной проверки материала до направления дела в суд. 4. Важнейшими информационными объектами сточки зрения доказательственного значения являются адреса МАС-адреса; лог-файлы; кэшированные данные приложений истории или журналы работы пользователей, содержащиеся в компьютерной системе, на сервере организации и провайдера файлы, их физические адреса, имена, детализации соединений. 5. Фиксация доказательственной информации, хранящейся на ресурсах сети Интернет, должна быть представлена в виде последовательной и полной цепи отраженных в процессуальных документах сведений, замкнутых по смыслу. Соблюдение указанных условий сможет развеять сомнение в предположительности обвинения, поскольку работа в сети Интернет зачастую носит обезличенный характер. Придерживаясь смысловой последовательности в рамках фиксации доказательственной информации, хранящейся на ресурсах сети Интернет при производстве следственных и процессуальных действий, следователь получит полное представление о характерных особенностях деятельности и структуре места, где было совершено преступление проанализирует конкретные условия деятельности обвиняемого выяснит коммуникативные и тактико-технические характеристики применяемой компьютерной техники и программного обеспечения проанализирует уровень защищенности объекта и предмета преступного посягательства выяснит служебные обязанности и порядок действий лиц, имеющих законный доступ к охраняемой компьютерной информации, отношение тех или иных лиц к имуществу (или праву на него, которые стали предметом преступного посягательства. Грамотная и содержательная фиксация доказательственной информации, хранящейся на 105 ресурсах сети Интернет, будет способствовать созданию условий, направленных на противодействие преступникам. 106 ГЛАВА 3. ОСОБЕННОСТИ ФИКСАЦИИ СЛЕДСТВЕННЫХ И ПРОЦЕССУАЛЬНЫХ ДЕЙСТВИЙ, ПРОВОДИМЫХ С ЦЕЛЬЮ ПОЛУЧЕНИЯ ДОКАЗАТЕЛЬСТВЕННОЙ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА РЕСУРСАХ СЕТИ ИНТЕРНЕТ |