Главная страница

диссертация Колычева. Диссертация__Колычева_А.Н.. Фиксация доказательственной информации, хранящейся на ресурсах сети интернет


Скачать 1.98 Mb.
НазваниеФиксация доказательственной информации, хранящейся на ресурсах сети интернет
Анкордиссертация Колычева
Дата11.01.2022
Размер1.98 Mb.
Формат файлаpdf
Имя файлаДиссертация__Колычева_А.Н..pdf
ТипДиссертация
#328061
страница7 из 10
1   2   3   4   5   6   7   8   9   10
§ 2. Особенности следственного осмотра и фиксации информации, хранящейся на ресурсах сети Интернет Следственный осмотр – самое распространенное следственное действие. Частота проведения осмотров настолько велика, что не должна вызывать особых сложностей. Однако проведение осмотров в рамках расследования уголовных дел, сопряженных с компьютерной информацией, ресурсами сети Интернет, содержащих доказательственную информацию, вызывает трудности как с позиции раскрытия и расследования таких уголовных дел, таки с позиции фиксации доказательственной информации. Ряд авторов выделяет задачи осмотра электронных носителей с привязкой к месту происшествия как к способу получения доказательственной информации. Нам представляется, указанные задачи схожи с задачами следственного осмотра в контексте фиксации доказательственной информации, хранящейся как на ресурсах сети Интернет, таки сопряженной с функционированием компьютерного оборудования, подключенного к сети Интернета именно
1. обнаружение, фиксация и изъятие электронно-цифровых следов совершенного преступления
2. фиксация обстановки, в которой проводится осмотр электронно- цифровых следов. Следственный осмотр – одно из самых информативных действий в рамках поиска и фиксации доказательственной информации, хранящейся на ресурсах сети Интернет. Рассматривать следственный осмотр применительно к нашей тематике целесообразно, разделив его на виды
93
Васюков, В.Ф. Способы получения доказательственной информации в связи с обнаружением возможностью обнаружения) электронных носителей учебное пособие / В.Ф. Васюков, Б.Я. Гаврилов, А.А. Кузнецов под общ. ред. Б.Я. Гаврилова. – Москва Проспект, 2017. - С. 23-24; Тактика следственных действий, направленных на отыскание, обнаружение, изъятие и исследование электронных носителей информации на них учеб. пособие / А.А. Кузнецов, Д.В. Муленков, СВ. Пропастин, А.Б. Соколов. – Омск Омская академия МВД России, 2015. - С. 7.

124 осмотр места происшествия осмотр страниц, интернет-сайта в сети Интернет осмотр электронной почты осмотр истории сообщений в программном обеспечении клиентов мгновенных сообщений (instantmessengers); осмотр информации интернет-соединений абонента и (или) абонентского устройства, полученного от провайдера. Осмотри фиксация места происшествия. Значимость данного следственного действия заключается в объединении следователя с событием преступления в рамках одного пространства ив сближении повремени Однако специфика функционирования сети Интернет и возможности интернет-пользователей вносят свои коррективы. Если преступление было совершено посредством ресурсов сети Интернет, место преступления становится неоднозначным, в связи с чем поиски фиксацию доказательственной информации необходимо осуществлять на местах а) ежедневной обработки и хранения компьютерной информации, имеющей впоследствии доказательственное значение либо ставшей предметом преступного посягательства б) непосредственного использования компьютерной техники с выходом в сеть Интернет для совершения преступлений или способствующих их дальнейшему совершению в) хранения информации, полученной в результате совершения преступлений посредством компьютерного оборудования и доступа к сети Интернет г) хранения на машинных носителях информационной системы, на которую осуществлено преступное посягательство д) непосредственного нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации и
94
Васильев, АН. Тактика отдельных следственных действий / АН. Васильев. – Москва МГУ, 1981. - С. 35.

125 информационно-телекоммуникационных сетей, на которые осуществлено преступное посягательство е) наступления вредных последствий от преступного посягательства. Вовремя осмотра места происшествия, связанного с компьютерным оборудованием, подключенным к сети Интернет, и других видов осмотра следователю необходимо очень ответственно подходить к решению вопроса о необходимости привлечения специалиста. На это указывал Н.П. Яблоков, подчеркивая, что в случае, если обстоятельства расследуемого события указывают на возможное возникновение входе проведения следственного действия нештатных ситуаций – привлечение специалиста необходимо»
95
В аспекте нашего исследования такие нештатные ситуации, как показывает практика, случаются достаточно часто. Поэтому, несмотря на то, что в соответствие с нормами УПК РФ привлечение специалиста к осмотру объектов, содержащих информацию в электронном виде, не является обязательным, мы не рекомендуем игнорировать его участие в данном следственном действии. Причем подбирать специалиста для осмотра места происшествия следует с учетом рекомендаций, изложенных в предыдущем параграфе. Осмотры средств вычислительной техники, содержащейся на ней компьютерной информации должны проводиться с использованием специализированных аппаратно-программных средств, применяемых специалистом. При этом компьютерная информация либо предварительно копируется на аналогичный машинный носитель с последующим осмотром копии, либо осматривается оригинал, нов таком случае предварительно блокируется информация на запись. Специалист сможет помочь следователю правильно зафиксировать в протоколе осматриваемые объекты. Только специалист должен подбирать программное обеспечение для доступа к осматриваемой информации, объясняет ее, при необходимости проводит ее
95
Яблоков, Н.П. Криминалистика практикум / Н.П. Яблоков. - Москва Юристъ, 2004. - С. 518.

126 преобразование к удобному для просмотра формату записи. Значимые, по мнению следователя, специалиста, технические особенности структуры функционирования сети Интернет должны фиксироваться в протоколе осмотра. В качестве одной из форм отражения выступает протокол осмотра места происшествия, в котором фиксируются данные об участниках данного следственного действия, их права и обязанности, порядок действий входе осмотра, все обнаруженное на месте происшествия, относящееся к расследуемому событию, замечания, озвученные участниками осмотра, приложения к протоколу (результаты фото, аудио- и видеосъемки, схемы, планы, таблицы, скриншоты, а также изъятые и скопированные объекты. Приложения к протоколу рассматриваются только как неотъемлемая часть к нему, поскольку отдельно от протокола они не имеют юридической силы и не являются самостоятельным доказательством. Данное обстоятельство является особенно актуальным в рамках рассматриваемой нами проблематики, поскольку нередко у сотрудников органов предварительного расследования снимки экранов (скриншоты) создают иллюзию об их информативности, наглядности и достаточности для признания их самостоятельными доказательствами без дополнительного закрепления в протоколе. И здесь следует согласиться с ЮН. Соколовым, по мнению которого, самостоятельная фиксация информации при помощи технических средств, без отражения в протокольной форме нечто иное как утрата их доказательственного значения. Вопрос непрост и является предметом многолетней дискуссии на страницах литературы и на многочисленных
96
Камышин, В.А. Иные документы как свободное доказательство в уголовном процессе автореф. дис. канд. юрид. наук 12.00.09 / Камышин Владимир Анатольевич. - Ижевск, 1998. - С. 12.
97
Соколов, ЮН. Информационные технологии как альтернативные средства фиксации при производстве следственных действий // Российская юстиция. - 2010. - №6. - С. 29-31. См Белоусов, А.В. Процессуальное закрепление доказательств при рассмотрении преступлений / А.В.
Белоусов. - Москва, 2001. - С. 174; Григорьев, В.Н. Уголовный процесс учебник / В.Н. Григорьев, А.В.
Победкин, В.Н. Яшин. - Москва, 2005. - С. 203; Долженко, НИ. Видеозапись следственного действия как источник доказательственной информации / НИ. Долженко, С.А. Ожередова // Вестник криминалистики. -
2007. - №4. - С. 79; Томин, ВТ. Острые углы уголовного судопроизводства / ВТ. Томин. - Москва, 1991. - С.

127 конференциях, круглых столах и т. п. Тем не менее законодатель остается верен себе в разрешении данного вопроса, пока никак не реагируя на динамичность социальных условий и научно-техническое развитие. В протокольной форме основным методом фиксации хода и результатов следственного осмотра является описание, которое должно соответствовать требованиям, указанным в ст. 166, 167, 180 УПК РФ. Входе осмотра компьютерного оборудования надлежит соблюдать порядок внесения записей в протокол следственного действия. Так, вводная часть протокола осмотра места происшествия должна содержать следующее место составления протокола (указывается название населенного пункта дату составления протокола осмотра места происшествия время начала и окончания осмотра с минутной точностью должность лица, составившего протокол, с наименованием структурного подразделения, звания, его фамилию и инициалы сведения о том, от кого получено сообщение о происшествии (в данной строке достаточно указать, лицо, сообщившее о происшествии, номер и дату регистрации в книге учета сообщений о происшествиях, где более подробно указываются обстоятельства фиксируется непосредственный адрес, куда прибыла следственно-оперативная группа сведения о понятых (фамилия, имя, отчество полностью, адреса регистрации и фактического проживания, а также номера мобильных телефонов, а также фамилии, имена и отчества иных участвующих лиц, должности сотрудников правоохранительных органов необходимо указать, какое конкретно место осматривалось (офис, квартира, иное помещение) ив соответствии с какими частями статей УПК
91; О едином учете преступлений" (вместе с "Типовым положением о едином порядке организации приема, регистрации и проверки сообщений о преступлениях, "Положением о едином порядке регистрации уголовных дели учета преступлений, "Инструкцией о порядке заполнения и представления учетных документов) Электронный ресурс Приказ Генеральной прокуратуры России № 39, МВД России №1070,
МЧС России № 1021, Минюста России № 253, ФСБ России № 780, Минэкономразвития России № 353,
ФСКН России № 399 от 29.12.2005 // Справочно-правовая система «КонсультантПлюс». – Электронно- поисковая программа. – Последнее обновление 20.01.2018. – Вред. указан.от 20.02.2014 Генпрокуратуры РФ № 91-11, МВД РФ.

128 РФ. В соответствии сч п. 177 УПК РФ осмотр места происшествия, предметов или документов допустимо проводить до возбуждения уголовного дела. Осмотр жилого помещения проводится с согласия проживающих в нем лиц либо согласно ч. 5 ст. 177 УПК РФ – на основании судебного решения
100
При осмотре служебных помещений организаций, в протоколе указывается представитель ее администрации, в присутствии, которого производится осмотр. Факт отсутствия представителя также фиксируется в протоколе осмотра места происшествия. Отражается и ссылка наст УПК РФ, руководствуясь которой должностное лицо составило протокол. Затем фиксируется факт разъяснения порядка проведения следственного действия, прав и обязанностей участникам, который подтверждается рукописной подписью какие технические средства применяются и кем (указываются все средства, применяющиеся входе осмотра места происшествия, сих номерными и маркировочными обозначениями, а также программное обеспечение, проводные и беспроводные устройства, накопители информации. В протоколе целесообразно зафиксировать обстоятельства, в которыхпроисходит осмотр места происшествия. И как совершенно справедливо отмечает С.А Шейфер, предположения и выводы о механизме следообразования, последовательности действий преступника и т.д. в протоколе осмотра не излагаются. В описательной части протокола емко и лаконично фиксируется следующее
1) общая картина осмотра места происшествия адрес, вид располагаемого здания (количество этажей, входов, пути, по которым возможно прибытие на место происшествия См О практике рассмотрения судами ходатайство производстве следственных действий, связанных с ограничением конституционных прав граждан (статья 165 УПК РФ) Электронный ресурс Постановление Пленума Верховного Суда РФ от 01.06.2017 № 19 // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновление 20.01.2018.
101
Шейфер, С.А. Следственные действия. Основания, процессуальный порядок и доказательственное значение /С.А. Шейфер. - Самара Издательство Самарский университет, 2004. - С. 59.

129 2) конкретизирующие, в каких именно границах он проводится, вид охраны, техническое состояние запорных устройств, дверных и оконных проемов, температурный режим (например, наличие охлаждающего оборудования в серверных помещениях
3) порядок размещения компьютерного и иного оборудования, тип комплектации, их цвета, маркировочные обозначения, фирменные наклейки, инвентарные и серийные номера, механические повреждения, их локализация и иные индивидуальные признаки
4) сколько компьютерных (мобильных) устройств в указанных границах имеют доступ к глобальной сети Интернет, способ подключения, вид связи сети (например, Wi-Fi), наличие кабельных соединений между компьютерными устройствами, объединяющих их в локальную сеть, наличие серверной, телекоммуникационной аппаратуры (модемов, факс-модемов, медиа-конверторов);
5) отражение внешнего состояния компьютерного и иного оборудования, находящегося во взаимодействии с ним, скопление пыли, жировых наслоений на поверхностях под оборудованием и на корпусах (например, от постоянно набираемой комбинации на сенсорном экране для разблокировки);
6) модернизация конструктивных изменений средств вычислительной техники, в том числе и архитектуры, свидетельствующие об уровне подготовки пользователя. В большинстве случаев это выглядит как несоответствие реальной технической укомплектованности и технического паспорта средств вычислительной техники
7) во включенном или выключенном состоянии находится осматриваемая техника(вопрос выключения техники согласовывается только со специалистом в каждом конкретном случае с целью предотвращения утраты доказательственной информации. Позиция специалиста фиксируется в протоколе. Вопрос, как следует поступать следователю в том случае, когда

130 средства вычислительной техники находятся в рабочем режиме, до сих пор остается дискуссионными среди ученых и практиков нет единого мнения. Разногласия сводятся к различию подходов к пониманию того, как необходимо фиксировать изображение на экране монитора. По мнению одних АИ. Дворкин и др, необходим детальный осмотр изображения на мониторе и соответствующее его описание в протоколе с проведением фото- и видеофиксации
102
. Оппоненты данной позиции (ММ. Менжегаи др) указывают на не конструктивность фиксирования изображения на мониторе, поскольку это приводит к потере времени и увеличению опасности уничтожения следов в электронном пространстве. Есть и третья точка зрения (ее можно назвать интегративной, согласно которой следует принимать решение о необходимости фиксации изображения на мониторес учетом мнения специалиста (Е.С. Шевченко
104
). Другими словами, если информация представляет интерес – ее следует фиксировать детально, если же она не несет особой ценности для расследуемого уголовного дела, тоне стоит тратить время на ее подробное описание. Данная точка зрения представляется нам наиболее разумной
8) порядок проводимых манипуляций с оборудованием и программным обеспечением, установленным на нем (указываются, какие клавиши периферийных устройств нажимались, какие манипуляции производились с информацией, отраженной на экране, последовательность открывания окон с фиксацией в протоколе, после каких действий делался скриншот, с присвоением ему соотносимого номера, указанного в протоколе В случае применения входе осмотра специальных комплексов криминалистической техники (UFED, Мобильный Криминалист) об этом
102
Дворкин, АИ. Осмотр места происшествия практическое пособие / АИ. Дворкин. - Москва Юрист Библиотека следователя, 2001.
103
Менжега, ММ. Методика расследования создания и использовании вредоносных программ для ЭВМ. М
Юрлитинформ, 2010. С. 96.
104
Шевченко, Е.С. Тактика производства следственных действия при расследовании киберпреступлений: дис. … канд. юрид. наук 12.00.12 / Шевченко Елизавета Сергеевна. – Москва. - 2016. - Сделается соответствующая пометка, однако получать судебное разрешение на применение этой техники ненужно, о чем свидетельствует решение Конституционного Суда РФ по рассмотрению жалобы гражданина НА.
Тарасова, согласно которой входе следствия по уголовному делу к его мобильному телефону подключалась специальная криминалистическая техника (UFED) для извлечения соответствующего содержания из электронной памяти телефона, что, по мнению НА. Тарасова, привело к ограничению его прав на тайну переписки, телефонных переговоров, на неприкосновенность частной жизни, гарантированных Конституцией РФ. Однако Конституционный Суд РФ не усмотрел здесь нарушения конституционных прав заявителя
9) документация, в рамках которой осуществляется аудит авторизаций в информационной системе
10) полное описание нештатных процессов входе загрузки операционной системы, реакции на введение управляющих команд с устройств ввода и других этапов работы компьютера
11) порядок, наименование и условия использования технических и программных средств, применяемых специалистами для обнаружения, исследования и изъятия следов преступлений отметка о том, что данные средства перед их использованием в присутствии понятых были тестированы на предмет отсутствия в них вредоносных программ и закладок перечень ПЭВМ, в которых применялись данные устройства полученные результаты
12) описание выявленных электронных носителей (более детальное описание допустимо ив рамках отдельного осмотра предметов и документов.
105
Об отказе в принятии к рассмотрению жалобы гражданина Тарасова Николая Алексеевича на нарушение его конституционных прав частью первой статьи 176 и частью первой статьи 285 Уголовно-процессуального кодекса Российской Федерации Электронный ресурс определение Конституционного Суда РФ от
08.04.2010 № 433-О-О // Справочно-правовая система «КонсультантПлюс». – Электрон. поисковая программа. – Последнее обновление 20.01.2018.

132 В протоколе осмотра желательно указывать то, что осмотр с распечатыванием файлов осуществлялся способом, не допускающим изменений или дополнений обнаруженных файлов операционной системы. Так, например, фиксируется, копирование обнаруженной информации на съемный носитель, с которого распечатывается, после чего заверяется участниками следственного действия и прилагается к протоколу осмотра. С учетом специфики рассматриваемого вида осмотра в заключительной части отмечается следующее
1) факт проведения фотосъемки, видеосъемки, аудиозаписи, снятие скриншота экрана с пометками, в отношении каких объектов и действий лиц, участвовавших в следственном действии, они проводились
2) порядок выключения сетевого и компьютерного оборудования, его отключения от электросети (если производились, особенности подключения проводов и кабелей перед их разъединением
3) перечень предметов, изъятых с места происшествия и способ их упаковки, содержание и месторасположение пояснительных отметок на упаковке, полный текст оттиска печати, адресат направления и лицо, получившее их на хранение
4) в случае выполнения копирования информации в процессе осмотра указывается, какие файлы (сих полным именем) или программное обеспечение и каким способом были скопированы, электронные носители информации – источники и приемники и их упаковка, временные реквизиты процедуры копирования (начало, завершение, количество копий и их получатели, марка и тип использованного устройства вывода при преобразовании информации из электронного видав другие виды распечатывание, фото- или видеосъемка и др
5) приложения к протоколу осмотра места происшествия (планы, схемы, иллюстрационные таблицы, снимки экрана, распечатки фрагментов важной компьютерной информации (например, файлов, наличие

133 заявлений и замечаний от участников осмотра, при наличии – их содержание. При наличии нескольких приложений одного вида (планов, схем, снимков экрана и т. д) целесообразно для системности и быстрого сопоставления с содержанием протокола давать развернутое название приложению с присвоением порядкового номера. Значимость детальной и подробной фиксации в протоколе связанна стем, что протокол является только источником доказательства сведения, отраженные в нем,
– доказательством
106
Составленный протокол подписывается всеми участниками следственного действия, при этом понятые подписывают внизу и каждый лист описательной части. Оформление следственного осмотра на практике достаточно объемно, поэтому, на наш взгляд, для ускорения оформления и удобства восприятия часто встречающиеся словосочетания возможно заменить устоявшимися сокращениями, символами и знаками. Например, ПКМ и ЛКМ (правая кнопка мыши и левая соответственно, enter -  (перевод каретки, => математический знак далее или следует, заменяющие длинные фразы, такие как после нажатия левой кнопки мыши (куда, открылось окно или
ЛКМ (куда) => (название окна при этом следует сделать пометку в протоколе с расшифровкой сокращения, аббревиатуры или знака, используемого входе фиксации хода и результата следственного действия. В рамках осмотра места происшествия в большинстве случаев возникает необходимость изъятия объектов, представляющих собой сложные технические устройства, содержащие электронную информацию, которые могут впоследствии стать вещественными доказательствами по делу либо же представляют оперативный и (или) криминалистический интерес для расследования преступления, совершенного посредством сети Интернет.
106
Очередин, ВТ. Доказательства в уголовном процессе сущность, источники, способы собирания / ВТ.
Очередин. - Москва, 2009. - С. 16.

134 Порядок изъятия и фиксации таких объектов необходимо осуществлять с учетом изложенного нами в предыдущем параграфе. Осмотри фиксация страниц, интернет сайта в сети Интернет. Входе осмотра отдельных страниц или всего интернет-сайта необходимо определить способ, при помощи которого информация размещена в Сети. Это может быть как страница, находящаяся на популярных ресурсах, позволяющих размещать информацию произвольного характера с наличием минимальных познаний в области информационных технологий страницы социальных сетей, блог-ресурсы, конструкторы сайтов с размещением сайта на домене разработчика конструктора, таки собственно созданные полнофункциональные web-сервисы (онлайн-тотализаторы, казино, фишинговые ресурсы. В первом случае для обеспечения фиксации страниц достаточно сделать скриншоты с протоколированием процедуры в установленном уголовно-процессуальном порядке с учетом криминалистических рекомендаций. Для случая с собственно созданными web-сервисами помимо снимков экрана необходимо получить реквизиты доступа к панели управления сайтом с целью возможности создания его полной резервной копии для последующего проведения компьютерной экспертизы. Все проводимые процедуры необходимо фиксировать в протоколе осмотра с указанием проводимых действий в полном объеме с фиксацией даты и времени, указанием при необходимости страниц, IP- адресов. При фиксации доказательственной информации с помощью скриншотов, необходимо отразить все значимые сведения, такие как время, адрес ЭВМ, на котором делается снимок, имена файлов, источники получаемой информации необходимо отразить настройки программы- клиента, наличие дополнительных носителей информации желательно фиксировать на одном снимке сразу несколько значимых параметров – допустим, изображение работающего клиента и информацию об адресе

135 устройства приложение 4). Создание снимка экрана происходит при нажатии на клавиатуре клавиши «Print Screen», в буфер обмена помещается текущий образ экрана, который в дальнейшем мы можем перенести в документ Word или графический редактор для сохранения в виде изображения при нажатии в редакторе правой клавиши мыши и выборе пункта Вставить. При распечатке снимков экрана в колонтитулах или разноске документа необходимо указать полный страницы дату и время фиксации программное обеспечение, с помощью которого осуществлен просмотр содержимого страницы характеристики ПЭВМ, на которой проводился просмотр характеристики ПЭВМ, на которой проводилась распечатка (если разные периферийные технические средства, используемые при просмотре и распечатывании информации реквизиты провайдера и номер договора, в рамках доступа которого осуществлялся осмотр страниц. Фиксация интернет-странички должна быть максимальной ввиду ряда обстоятельств размещения информации в сети Интернет и возникающих в связи с этим трудностей. Одна и та же информация на различных технических устройствах, разном программном обеспечении будет отображена не единообразно в связи стем, что программные оболочки имеют различные интерфейсы предоставления информации для пользователя и между источником информации и средством еѐ визуализации обмен происходит путем еѐ преобразования, кодирования, декодирования. Само содержимое информации при передаче остается неизменным, но способе предоставления может меняться вплоть до преобразования вида(например, текстовая информация в реальном времени преобразуется в аудиозапись. Также в связи с развитием динамического принципа организации содержимого интернет-ресурсов на отображение информации может повлиять географическое положение типичным примером может служить автоматический перевод содержимого

136 страниц с одного языка на другой, время суток, время года, определенные даты. Одной из наиболее серьезных проблем, на наш взгляд, является возможность пользователю быть анонимным, в тоже время позволяя ему управлять содержимым страницы, то есть самостоятельно в любой момент времени поместить информацию, распространить еѐ и удалить еѐ первоисточник. Несмотря на то, что обязанность владельцев сайтов нести ответственность за содержимое их страниц законодательно закреплена, максимальная их ответственность будет заключаться в блокировании доступа к ресурсу, на котором была размещена информация. При этом разместивший эту информацию злоумышленник вообще может быть не установлен. Осмотри фиксация информации, содержащейся на электронной почте возможен потрем основным направлениям
1) когда осматривается почта непосредственно на компьютере участника уголовного судопроизводства и сего согласия
2) когда осматривается материальный носитель с содержащейся на нем электронной перепиской, предоставленный почтовым сервисом
3) когда осматривается содержание электронной переписки на бумажном носителе (последний вариант осматривается по правилам осмотра обычных документов. В результате изучения электронной почты возможно установить а) историю переписки, по которой можно определить не только факт совершения преступления, но и получить информацию, имеющую криминалистическое значение и представляющую оперативный интерес например, сведения о соучастниках преступления б) доступ к различным интернет-ресурсам, которые дают возможность восстановить реквизиты доступа к форумам, электронным онлайн-сервисам, платежным системами т.д. Одним из распространенных мест обнаружения электронной почты с

137 позиции большей доступности для следователя является компьютер лица получателя корреспонденции, поскольку получателем чаще всего является потерпевшая сторона. Осмотр электронной почты, интерфейса программного обеспечения, организованного с использованием сервиса, не отличается от осмотра страниц или интернет-сайта. В данном случае мы также используем программу-обозреватель (браузер), получаем отображение страницы с содержимыми фиксируем снимком экрана. Также для получения электронной почты используется специальное программное обеспечение – почтовые клиенты. При осмотре ПЭВМ, подключенной к сети Интернет, необходимо обратить внимание на наличие установленного программного обеспечения, такого как
Mozilla
Thunderbird, The Bat!, Microsoft Outlook. Это необходимо в связи стем, что данные почтовые клиенты при использовании протокола POP3 после скачивания почты на средства вычислительной техники могут удалять оригиналы писем на почтовом сервере, и фактически следствие не узнает, получал/отправлял ли пользователь средств вычислительной техники электронную корреспонденцию. Осмотри фиксация истории сообщений в программном обеспечении клиентов мгновенных сообщений (instantmessengers). Практически все клиенты данного вида программного обеспечения
(ICQ и ICQLite, JabberIM, PalTalk, Miranda, QIP и т. д. по умолчанию сохраняют историю переписки между абонентами. Е, как правило, можно найти в разделе «History» (История. Там можно обнаружить интересующих следствие абонентов, задать период времени, за который необходимо получить информацию, и вывести список сообщений в файл или распечатать. Отобранная информация будет включать в себя nickname, uin уникальный номер пользователя сети IM), дату и время отправки сообщения и собственно его текст.

138 На практике можно столкнуться с ситуацией, когда страницы или интернет-сайты, электронная почта, мессенджеры, информация с которых необходима следствию, не являются общедоступными или доступ ограничен авторизацией, а реквизиты доступа подозреваемый/обвиняемый не сообщает. Прежде чем обращаться с запросом к провайдеру или владельцу сетевого ресурса, целесообразно, имея доступ к ПЭВМ подозреваемого/обвиняемого проверить наличие данных реквизитов на нм, обращая внимание на текстовые файлы, документы, менеджеры хранения паролей(например,
KeePass, eWallet, LastPass), в которых могут храниться логины и пароли. Так, входе осмотра с участием специалиста изъятого у подозреваемого ноутбука в программе был обнаружен и зафиксирован файл, содержащий электронную информацию в зашифрованном посредством самой программы видео логинах (именах доступа к информации, размещенной в сети Интернет) и паролях доступа к ним, в частности к сайтам, интересующим органы предварительного расследования. Обнаруженная информация была подробно отражена в протоколе осмотра предметов и документов, а ноутбук был приобщен в качестве вещественного доказательства. Впоследствии указанные сведения способствовали привлечению новых доказательств в процесс расследования
107
Для получения реквизитов доступа к ресурсам (сайты, электронная почта, страницы администрирования ресурсов и иное) необходимо проверить их наличие в хранилище паролей браузера, так как все браузеры по умолчанию предлагают сохранять данные авторизаций. В случае если пользователь средств вычислительной техники не слишком задумывался о своей безопасности или не обладает высокой технической грамотностью, мы имеем возможность получить данные реквизиты.
107
Архив Ленинского районного суда г. Чебоксары. Уголовное дело № Х-Х в отношении Елизарова О.В., обвиняемого в совершении преступлений, предусмотренных ч ст УК РФ, ч ст УК РФ.

139 Аналогичным методом осуществляется восстановление реквизитов доступа к электронным почтовым ящикам с локальных ПЭВМ пользователей, подключенных к сети Интернет. Во-первых, с помощью программ для сохраненных паролей в браузерах мы можем получить данные web- ориентированных клиентов электронной почты.
Во-вторых, для программного обеспечения, обеспечивающего обработку электронной почты, также существуют утилиты, позволяющие восстанавливать пароли к учетным записям, которые ранее сохранены в кэшах популярных почтовых клиентов. Одной из самых богатых в части возможностей по восстановлению паролей к почтовым клиентам утилитой является Она работает с огромным количеством клиентов электронной почты. В протоколе следует фиксировать время получения или отправления сообщения, дословный текст сообщения (если он имеет значение для расследуемого уголовного дела. В ситуациях, когда сообщение сохранено в чате сервиса мгновенных сообщений, необходимо фиксировать в протоколе геопозиционные данные устройства, которые отражаются при отправлении в электронном сообщении, фиксируя место отправления сообщения. В рамках осмотров видео- и аудиозаписей, размещенных в чате, целесообразно фиксировать тип расширения файла, время создания, размещения, изменения, продолжительность и содержание записи. Основываясь на содержании ст. 185 УПК РФ, а также учитывая, что информация о содержании сообщений размещается в серверных хранилищах данных оператора связи, следователь с разрешающим постановлением суда производит осмотр серверного оборудования и выемку скопированных данных, представляющих интерес для следствия.
108
Инструменты для цифровой криминалистики Электронный ресурс]:[сайт] Официальный сайт ООО
«Элькомсофт» Режим доступа https://www.elcomsoft.ru/ambpr.html. Дата обращения 16.09.2017.
109
Васюков В.Ф. Некоторые вопросы проведения следственных действий, направленных на обнаружение, фиксацию и изъятие электронных сообщений, переданных посредством мобильных абонентских устройств сотовой связи / В.Ф. Васюков // Российский следователь. - 2016. - № 23. - С. 15-18.

140 Осмотри фиксация информации интернет-соединений абонента и или) абонентского устройства, полученного от провайдера. Входе анализа изученных уголовных дел мы пришли к выводу о том, что следователь не всегда имеет представление, что необходимо отразить в описательной части протокола осмотра. Связано это, с одной стороны, со сложностями в понимании, на какую техническую информацию, отраженную в предоставленных провайдером данных, стоит обратить внимание и и что следует зафиксировать в протоколе для предания ей доказательственного значения. Ас другой, как совершенно справедливо отмечает ДА. Илюшин, следователи и оперативные сотрудники не всегда понимают юридическую силу статистических сведений, предоставленных оператором связи, с отраженной в них информацией
110
Интернет-провайдер на основании соответствующего договора о предоставлении услуг связи формирует статистику интернет-соединений абонента. Осуществляется это как для формирования платежного счета, таки в рамках исполнения действующего законодательства в рамках Постановления Правительства РФ от 27 августа 2005 г. № 538 Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность. Соответствующую статистику формирует и интернет-сайт, руководство которого имеет возможность предоставить информацию об интернет- соединениях абонента и (или) абонентского устройства, а также о последовательности работы в Сети, отражающейся вlog-файлах. Рассматриваемая статистика формируется провайдером в электронном виде. Абоненту же будет предоставлен электронный вариант на материальном носителе или распечатанный бумажный вариант интересующих его
110
Илюшин, ДА. Особенности расследования преступлений, совершаемых в сфере предоставления услуг Интернет дис. … канд. юрид. наук 12.00.09 / Илюшин Денис Анатольевич. - Волгоград, 2008. - С. 130-140.

141 статистических сведений. Аналогичную форму предоставляют и сотрудникам правоохранительных органов в рамках производства выемки по судебному решению, за исключением случаев, не терпящих отлагательства. Именно отражение содержания предоставленной электронной информации на бумаге или другом материальном носителе при правильном процессуальном оформлении дает ей возможность стать юридически значимой. Необходимо сопоставлять реквизиты, указанные в предоставленных вариантах на бумажном носителе ив электронном виде, на соответствие бумажного и электронного вариантов. При этом анализируются временные показатели соединений (дата, время, продолжительность. Необходимо учитывать, что системные часы на оборудовании операторов связи и провайдеров могут различаться (расхождение может быть от нескольких секунд до нескольких десятков минут. Информация о действиях в сети Интернет находит автоматическое отражение не только на средствах вычислительной техники пользователя, но и, как мы уже указывали, в файлах серверного и сетевого оборудования интернет-сайтов, провайдеров. Самым распространенным правилом такого отражения является следующее одно событие – одна запись. В основном любая запись обеспечивается меткой времени. Такое правило очень четко позволяет разграничить порядок действий, что впоследствии будет способствовать процессу доказывания. В протоколах о соединениях с сетью Интернет существуют записи трех типов start, update и stop, определяющие начало сеанса, вспомогательную информацию о сеансе (как правило, после установления PPP-, PPoE-, PPTP- соединений и выдачиIP-адреса) и окончание сеанса. Каждая запись занимает одну строчку (строки разделены символом перевод каретки. Первая часть записи – это дата и время добавления записи по системному времени сервера соединений. Следующая часть – адрес маршрутизатора, обслуживающего данную сессию. Далее следует имя

142 авторизации (login), под которым зашел пользователь, наименование линии, вид соединения, тип записи (start, stop, update) и дополнительные параметры. Например, параметр addr задает адрес сессии, bytes_in и bytes_out – объем информации, прошедший за время сессии, elapsed_time – длительность сессии в секундах По записям stop можно однозначно определить, кто использовал данный адрес в заданный промежуток времени (дата определяет момент окончания сеанса, elapsed_time – длительность. Перечисленные выше типы записей, сессий должны найти обязательное отражение в протоколе вместе с общими сведениями о датах, времени и месте. Мы уже писали ранее, что законодатель не обязывает осматривать информацию о соединениях абонента и (или) абонентского устройства с обязательным участием специалиста, однако рассмотренный вид осмотра целесообразнее проводить с представителем оператора связи в качестве специалиста. Такой специалист должен обладать знаниями о работе с файлами определенного типа, например файлами сданными с документами из базы данных выписками из электронного журнала или учетного реестра абонентов сети ЭВМ (электросвязи) и т.д. По окончании составления протокола осмотра участвовавшего специалиста необходимо допросить о типах записей, параметрах и других сведениях, отраженных в осмотренных материалах, предоставленных следователю, обеспечив тем самым доступность и понимание технических моментов для участников уголовного судопроизводства. Рассмотрев различные виды вариантов осмотра, связанных с ресурсами сети Интернет, мы подчеркивали целесообразность распечатывания на бумажном носителе значимой электронной информации. Такие распечатки, сделанные входе рассмотренных следственных действий, становятся доказательствами по уголовному делу. Исходя из сущности действий, такая распечатка является лишь копией, однако, как справедливо отметил А.Л.

143
Осипенко, восприятие технических данных в электронном виде невозможно без непосредственного восприятия человеком, поэтому допустимы любые формы вывода (включая распечатку, способствующие достоверному отражению данных, находящихся в электронно-цифровой форме. Учитывая изложенное поданному вопросу, можно подытожить следующее. Законодатель не обязывает привлекать для рассмотренных нами видов осмотра специалиста, однако в целях полной, достоверной и грамотной фиксации доказательственной информации, хранящейся на ресурсах сети Интернет, его участие желательно. Следователь должен принимать такое решение самостоятельно с учетом наличия ведомственных специалистов и узких специалистов по направлениям сетевой и компьютерной деятельности. Изложенные нами предложения в каждом варианте осмотра способствуют выбору надлежащего направления фиксации доказательственной информации, хранящейся на ресурсах сети Интернет или полученной в результате использования сетевого пространства. С учетом общего объема собранных входе выемки и осмотра доказательств по уголовному делу следователь принимает решение о необходимости назначения компьютерной экспертизы.
1   2   3   4   5   6   7   8   9   10


написать администратору сайта