тактика. Тактика и технология производства невербальных следственных действий

Том 74 № 9 (178) сентябрь 2021
112
LEX RUSSICA
КиберПроСтранСтво
CYBERSPACE
мена данными по радиоканалам, предоставляя пользователю альтернативу для подключения к сети Интернет, например с помощью техно- логии Wi-Fi на основе стандартов IEEE 802.11 либо высокоскоростной передачи данных для мобильных телефонов, основанной на сете- вых технологиях GSM/EDGE и UMTS/HSPA. При изъятии мобильных устройств с заблокирован- ным экраном иногда бывает затруднительно определить, в каком состоянии они находят- ся — выключенном или энергосберегающем.
В иных случаях выключение устройства может быть признано нецелесообразным, но при этом отсутствует возможность отключить адаптеры беспроводной связи, тогда устройство необ- ходимо поместить в специальную изолирую- щую упаковку, чтобы исключить несанкциони- рованное беспроводное подключение к нему посторонних лиц по протоколам удаленного управления и администрирования, в результате чего могут быть уничтожены или фальсифици- рованы цифровые следы.
Тактические особенности производства обыска сходны с особенностями осмотра ме- ста происшествия, но имеют свою специфику.
Кажущееся очевидным решение об изъятии без предварительного исследования обнаружен- ных в ходе обысков компьютеров, мобильных устройств либо электронных носителей инфор- мации при определенных обстоятельствах при- водит к утрате сведений, имеющих доказатель- ственное значение, поскольку современные ноутбуки, планшеты, мобильные смартфоны и др. снабжены средствами защиты пользо- вательской информации, интегрированными производителями в свои продукты на про- граммном или аппаратном уровне. Помимо этого, преступники принимают меры к сокры- тию следов преступления, устанавливая на ис- пользуемое ими компьютерное оборудование программы для шифрования и уничтожения данных.
Одним из эффективных способов избежать утраты значимых для расследования сведений является осмотр работающих средств вычис- лительной техники, когда доступ к сохранен- ной на них информации не ограничен. В этом случае специалисту необходимо либо скопи- ровать данные, относящиеся к делу, на отдель- ный накопитель информации, либо обеспечить возможность повторного включения компью- терной техники без утраты хранящейся инфор- мации. Однако само наличие такой возможно- сти зависит от подготовленности к производству обыска, наличия детально разработанного пла- на следственного действия, предусматриваю- щего возможные проблемные ситуации, про- гнозирование таких ситуаций и рассмотрение вариантов их решений, а также от грамотной реализации разработанного плана.
Учитывая многообразие способов уничто- жения либо шифрования данных, хранящихся в компьютерных системах и иных средствах вычислительной техники, а также изобрета- тельность лиц, совершающих компьютерные преступления, что обусловлено их высоким об- разовательным уровнем, склонностью к нестан- дартному мышлению и творческим подходом к осуществляемой ими деятельности, трудно переоценить этап подготовки к проведению обыска.
В отличие от осмотра места происшествия, обыск производится только по возбужден- ному уголовному делу, проведение обыска по горячим следам по делам о компьютерных преступлениях — скорее исключение из пра- вил, в связи с чем у следователя имеется воз- можность подготовиться должным образом к такому сложному следственному действию.
Как и в случае с осмотром места происшествия, необходимо заранее подобрать специалиста, обладающего необходимыми компетенциями, и совместно с ним разработать план обыска.
Для составления плана следует предваритель- но собрать максимально полную информацию о месте производства обыска и находящемся там компьютерном оборудовании, о личности подозреваемого, используемых им средствах вычислительной техники, образе его жизни, графике бодрствования и сна, времени, кото- рое он проводит за компьютером, и т. д. Значи- мую информацию можно получить путем про- ведения оперативно-розыскных мероприятий; из показаний лиц из окружения подозревае- мого, сотрудничающих со следствием; посред- ством изучения статистических данных сетевых подключений, предоставленных провайдером, оказывающим подозреваемому услуги досту- па в сеть Интернет, и/или оператором сотовой связи. Проведение подготовительных меро- приятий позволяет исключить ошибки, связан- ные с неправильным установлением места проведения обыска (например, когда квар- тира была установлена по выделенному для ее владельца IP-адресу, а преступная деятель- ность осуществляется из соседнего помещения вследствие компрометации беспроводной точ- ки доступа), а также минимизировать вредные

Том 74 № 9 (178) сентябрь 2021
113
LEX RUSSICA
россинская е. р., рядовский и. а.
Тактика и технология производства невербальных следственных действий по делам о компьютерных преступлениях: теория и практика
последствия от несвоевременности производ- ства обыска, когда подозреваемый отдыхает, средства вычислительной техники выключены, а вся хранящаяся в них информация надежно зашифрована.
При проведении обыска в офисе, где пре- ступную деятельность осуществляет группа лиц, следует выяснить планировку помещений, рас- положение рабочих мест, средств вычислитель- ной техники, вспомогательного оборудования, необходимость привлечения дополнительно специалистов. После изучения собранной ин- формации следователю надлежит убедиться в наличии специальных технико-криминалисти- ческих средств и программного обеспечения для предварительного исследования компью- терных устройств и цифровых следов, с учетом возможного оказания подозреваемым проти- водействия, иного оборудования для поиска, обнаружения, копирования и фиксации ком- пьютерной информации, в том числе электрон- ных носителей для хранения на них цифровых следов либо изготовления побитовых копий дисков, а также кабелей, переходников, набора инструментов для разборки технического обо- рудования, упаковочного материала.
При проведении обыска по делам о ком- пьютерных преступлениях крайне важно обес- печить своевременность и внезапность проник- новения следственной группы в обыскиваемое помещение, что обусловлено той легкостью, с которой подозреваемый может уничтожить цифровые следы, имеющие криминалистиче- ское значение. Главная задача на этом этапе — получить доступ к средствам вычислительной техники, находящимся во включенном состоя- нии, с подключенными внешними носителями информации. Затем, не сбавляя темпа, необ- ходимо отстранить подозреваемого и иных лиц, находящихся в помещении, от компьютеров, силовых кабелей, электрических розеток и ис- ключить их несанкционированное передвиже- ние по помещению. Грамотное использование следователем фактора внезапности, который, как правило, влечет кратковременное психо- патологическое состояние растерянности у по- дозреваемого, может помочь склонить послед- него к сотрудничеству со следствием. В этом случае следует получить от подозреваемого и зафиксировать в протоколе реквизиты доступа к локальным учетным записям и аккаунтам на внешних ресурсах, пароли для разблокирова- ния мобильных устройств, данные для доступа к шифрованным дискам и т. п.
Вместе с тем, независимо от готовности подозреваемого сотрудничать со следствием, специалисту следует незамедлительно после проникновения в помещение начать работу по осмотру и предварительному исследованию средств вычислительной техники. В первую очередь необходимо, используя различные способы, исключить переход в режим энерго- сбережения или блокировки работающих ком- пьютеров и мобильных устройств (например, путем периодического перемещения компью- терной мыши). Одновременно посредством фотосъемки либо видеозаписи следует запе- чатлеть содержимое экранов компьютеров, тем самым зафиксировать факт использования средств вычислительной техники в преступных целях на случай внезапного выключения пита- ния и утраты возможностей для поиска цифро- вых следов преступления.
Крайне важная для расследования информа- ция — машинный код, данные о сетевых под- ключениях, активных процессах, вычисленных хеш-функциях паролей, введенных пользова- телем как для локальных целей, например для подключения зашифрованной области диска, так и для авторизации на удаленных ресурсах, и т. п. — хранится в энергозависимой оператив- ной памяти компьютера. Сведения, которые могут быть получены в результате исследова- ния содержимого оперативной памяти, иными способами зачастую добыть невозможно, одна- ко при этом они характеризуются высокой вола- тильностью и уничтожаются при выключении питания. Для последующего поиска цифровых следов преступления в содержимом оператив- ного запоминающего устройства (ОЗУ) следует создать его копию с помощью специальной криминалистической программы, сохраненной на отдельном внешнем электронном носителе информации. Содержимое ОЗУ копируется в работающей системе путем подключения к ней электронного носителя со специальной про- граммой. Извлеченные таким образом цифро- вые следы сохраняются на этом же либо ином внешнем диске, который изымается и приоб- щается к протоколу следственного действия.
Исходя из конкретных обстоятельств дела и с учетом ранее собранных на этапе подготовки к обыску сведений о возможных средствах и методах, которые могут быть применены обы- скиваемым для уничтожения цифровых следов преступления, перед копированием содержи- мого ОЗУ целесообразно произвести осмотр информации, обрабатываемой компьютерной

Том 74 № 9 (178) сентябрь 2021
114
LEX RUSSICA
КиберПроСтранСтво
CYBERSPACE
системой. Например, для противодействия следствию подозреваемый может настроить запуск программы уничтожения данных либо просто выключение компьютера на событие операционной системы — изменение аппа- ратного окружения. В этом случае при под- ключении внешнего электронного носителя к программе для снятия копии содержимого ОЗУ будет выполнено запрограммированное дей- ствие.
Для выявления признаков, свидетельствую- щих о наличии в системе криминалистически значимых сведений, которые могут быть утра- чены в результате противодействия подозре- ваемого, следует:
— провести поиск на предмет обнаружения программ, обеспечивающих шифрование файлов; программ для создания и исполь- зования шифруемых областей цифровых данных (криптоконтейнеров); программ, обеспечивающих функционирование вир- туальных машин; программ — менеджеров паролей; программ — клиентов мгновенно- го обмена сообщениями, поддерживающих шифрование трафика; программ для напи- сания приложений — среды разработки; специфических утилит (программ-спамеров и т. п.);
— изучить файловую систему с целью иссле- дования логической структуры дисков на предмет выявления неразмеченной области большого размера и обнаружения файлов больших размеров, возможно являющихся криптоконтейнерами;
— исследовать запущенные на компьютере процессы, изучить аппаратное и сетевое окружение, проверить на наличие подклю- чений к удаленным сетевым ресурсам, в том числе облачным хранилищам, и т. п.
Информация, выводимая на монитор в ходе предварительного исследования компьютер- ной системы, должна быть зафиксирована по- средством фотосъемки либо видеозаписи. В от- сутствие уверенности, что после выключения средств вычислительной техники данные на них не будут зашифрованы либо доступ к ним не бу- дет ограничен иными способами, необходимо скопировать все значимые для расследования данные на специально приготовленный элек- тронный носитель информации. Такими сведе- ниями могут быть архив электронной почты; контактные листы программ-клиентов обмена сообщениями; история переписки; исходные коды; среда разработки и скомпилированные образцы программного обеспечения; данные о доступе к серверам, веб-ресурсам и другой сетевой инфраструктуре; файлы, содержащие копии веб-страниц, посещенных с помощью браузеров; файлы, содержащие историю посе- щения веб-страниц; настройки VPN; профили пользователей; отсканированные изображения финансовых и регистрационных документов и т. п.
Кроме этого, обязательно следует скопиро- вать файлы из доступных криптоконтейнеров в локальной системе, а при наличии активных подключений к сетевым ресурсам, в том числе облачным хранилищам, произвести удален- ное копирование данных на внешний носитель информации, который приобщить к протоколу обыска.
Если непосредственное подключение через интерфейс USB носителя информации к осма- триваемой системе невозможно, в том числе из соображений обеспечения сохранности цифро- вых следов, следует рассмотреть иные способы для извлечения и сохранения криминалистиче- ски значимой информации, например посред- ством копирования данных на сетевой диск с использованием протокола SMB.
При изъятии выключенной компьютерной системы, когда изучить ее конфигурацию, аппа- ратное окружение и подключенные диски не представляется возможным, обыскиваемое помещение необходимо тщательно осмотреть и, при необходимости, исследовать с помощью специальной аппаратуры с целью проверки, не использует ли подозреваемый удаленные сетевые диски, которые физически могут быть скрыты в стенах, нишах мебельных гарнитуров, подсобных помещениях.
Действия специалиста, направленные на осмотр и предварительное исследование средств вычислительной техники, извлечение и сохранение на внешний носитель цифровых данных, а также иные манипуляции, совершен- ные с целью поиска цифровых следов преступ- ления, должны быть детально описаны в про- токоле обыска, по возможности запечатлены с помощью фотосъемки либо видеозаписи или зарегистрированы иными средствами фикса- ции хода и результатов следственного действия.
Использованные в ходе обыска специальные технические и программные средства должны быть указаны в протоколе. Подлежат фиксации в протоколе обыска также действия подозре- ваемого, направленные на противодействие следственной группе, например попытки уни-

Том 74 № 9 (178) сентябрь 2021