пїњ

  ¬ќѕ–ќ—” ќЅ »—ѕќЋ№«ќ¬јЌ»» ЁЋ≈ “–ќЌЌќ… »Ќ‘ќ–ћј÷»» ¬ ”√ќЋќ¬Ќќ-ѕ–ќ÷≈——”јЋ№Ќќћ ƒќ ј«џ¬јЌ»»: “≈ќ–≈“» ќ-ѕ–» ЋјƒЌќ… ј—ѕ≈ “

”ƒ  343.146
 увычков —ергей »ванович Kuvychkov Sergey Ivanovich
преподаватель кафедры математики, информатики и информационныхтехнологий Ќижегородска€ академи€ ћ¬ƒ –оссии (603950, Ќижний Ќовгород, јнкудиновское шоссе, 3)
lecturer of department of mathematics, informatics and information technologies Nizhny Novgorod academy of the Ministry of internal affairs of Russia (3 Ankudinovskoe shosse, Nizhny Novgorod, 603950)
E-mail: redsxrjd@mail.ru
  вопросу об использовании электронной информации в уголовно-процессуальном доказывании: теоретико-прикладной аспект
On the use of electronic information in criminal procedure proving: theoretical and applied aspects
¬ статье рассмотрены возможности использовани€ электронных доказательств в уголовном судопроизводстве. ”казаны примеры недостатков в применении электронных доказательств в правоохранительной де€тельности. ƒаютс€ предложени€ по изменению законодательства с целью использовани€ электронной информации в доказывании. ¬ статье содержатс€ рекомендации по повышению эффективности представлени€ электронных доказательств в суде.
 лючевые слова: электронное доказательство, уголовный процесс, доказывание.
The article criticized the views about the alleged inferiority of electronic evidence. The authors show the typical drawbacks in using electronic evidence. They make suggestions for changes in legislation in order to adapt to the use of electronic information in proving. In this article there are recommendations for improving the presentation of electronic evidence in a court.
Keywords: electronic evidence, criminal procedure, proving.
»нформаци€ в электронном виде повсеместно вытесн€ет бумажные документы, но при этом возникают различного рода проблемы. ќдна и та же электронна€ информаци€, представленна€ в виде видео-, фото- и звуковых материалов, может трактоватьс€ различными сторонами процесса в своихличных интересах. Ќа этой почве возникают и ведутс€ информационные войны с применением теле- и радиоканалов. ѕоэтому дл€ определени€ истинной природы возникновени€ и источника электронной информации необходимы дополнительные атрибуты, позвол€ющие определить принадлежность данной информации субъекту с прив€зкой к конкретному географическому месту и времени. ƒанные возможности предоставл€ют практически все современные электронные средства.
Ќи дл€ кого не секрет, что современный человек оснащен массой устройств, позвол€ющих определить его местонахождение в простран-
стве в определенное врем€ и вы€вить возможность причастности к тому или иному событию. Ѕольшинство людей имеют сотовый телефон, планшет, ноутбук, автомашину, укомплектованную головным устройством, по своим возможност€м не уступающим планшету, видеорегистратору, оснащенным устройствами GPS и √лоннасс, с возможност€ми фиксации времени, скорости и месторасположени€ различных объектов. ѕо данной дополнительной информации как раз и можно определить относимость представленной в качестве доказательства информации к различным событи€м, фигурирующим в уголовныхделах.
¬идео-, фото- и звуковые файлы, созданные с помощью вышеуказанных гаджетов, имеют электронную форму и, использу€ существующие быстрые каналы св€зи, мгновенно передаютс€ в сеть Ђ»нтернетї на различные общедоступные сайты и станов€тс€ известными всем
пользовател€м ¬семирной сети. ћасштаб данных электронных материалов неограничен. ќни могут быть св€заны с одним преступлением, с вооруженным конфликтом или проведением выборов. ”же сейчас данна€ информаци€ рассматриваетс€ и служит поводом дл€ проведени€ определенных процессуальных действий как органами предварительного расследовани€, так и другими участниками производства по делу.
Ёлектронные документы как вещественные доказательства породили новые требовани€ к содержанию осмотра, обыска, других следственных действий, проводимых в досудебном процессе по уголовному делу, равно как и оперативно-разыскных меропри€тий. ƒанный вид информации требует использовани€ современных методов вы€влени€ и фиксации специфичных следов модификации информации, которую можно считать Ђинформационным следомї преступлени€. “ак, при изъ€тии вещественных доказательств в электронной форме с различных накопителей внешней пам€ти необходимо об€зательное использование специалиста. ƒанные действи€ выполн€ютс€ в определенном пор€дке, начина€ с осмотра места происшестви€, компьютерной техники, накопителей внешней пам€ти и заканчива€ выемкой предметов, документов, носителей информации, имеющих отношение к преступлению, и назначением компьютерно-технической экспертизы.
ѕри выполнении данныхдействий необходимо учитывать р€д моментов.
1. ”читыва€ возможности современных беспроводных технологий передачи информации, при изъ€тии компьютерной техники необходимо убедитьс€ в наличии накопителей внешней пам€ти внутри устройства осмотра. «афиксированы случаи, когда при изъ€тии системного блока оперативные сотрудники не учитывали тот факт, что жесткий диск подключен удаленно с передачей данныхчерез радиоканал.
2. ѕри фиксации преступного де€ни€, произведенного с использованием сети Ђ»нтернетї, необходимо учитывать временные параметры преступлени€ не только по адресу места совершени€ преступлени€, но и врем€, которое было в том населенном пункте, где был обнаружен !–-адрес компьютера подозреваемого. “ак как чаще всего динамический !–-адрес компьютеру, подключаемому к сети, назначаетс€ провайдером автоматически, то при разнице во времени, определ€емом временными по€сами, под данным !–- адресом с интервалом даже в один час могли работать разные пользователи. ¬ судебной практике известны случаи, когда право-
охранительные органы, не учитыва€ данный момент, изымали компьютерную технику и пытались обвинить людей, не причастных к данному преступлению.
3. Ќакопители внешней пам€ти €вл€ютс€ вещественными доказательствами и поэтому должны быть представлены суду неизмененными. Ётот критерий предоставл€ет возможность назначени€ повторной и дополнительной экспертиз. ѕоэтому дл€ исследовани€ необходимо примен€ть методы и средства, не измен€ющие исходную информацию, что находитс€ на накопител€х внешней пам€ти.
ѕоследний момент вызывал различные трактовки, так как некоторые авторы [1, с. 21] дл€ быстрого поиска электронной информации, относ€щейс€ к возбужденному уголовному делу, предлагают проведение быстрого просмотра электронных документов, наход€щихс€ на накопител€х внешней пам€ти включенной компьютерной техники по месту ее нахождени€ с использованием стандартных поисковых средств установленной пользователем операционной системы.
ќднако при этом возникает р€д проблем, св€занных со слабой подготовленностью оперативных сотрудников и следователей, которые зачастую не могут на месте оценить значение обнаруженной информации из-за большого количества электронныхдокументов, хран€щихс€ на осматриваемых жестких дисках.  роме того, данный вид информации может быть специфично представлен на исследуемом носителе. Ёлектронные документы могут быть защищены паролем, криптографическими и стеганогра-фическими программными продуктами, могут находитьс€ на зашифрованныхлогическихдис-ках, а также могут быть защищены с помощью дополнительных аппаратных и программно-аппаратных средств.
 роме того, при расследовании преступлений, св€занных с использованием компьютерной техники, неквалифицированные действи€ могут не только модифицировать разыскиваемую информацию на магнитном носителе, но и привести к ее безвозвратному удалению.   сожалению, нередки случаи, когда изъ€тый компьютер использовалс€ сотрудниками правоохранительных органов, кроме поиска электронной информации, относ€щейс€ к возбужденному уголовному делу, дл€ набора и распечатки служебных документов и игр. ѕри этом известно, что даже открывание имеющегос€ документа, а тем более создание электронных документов и установка нового программного обеспечени€
измен€ют информацию на носителе и делают невозможным восстановление существовавшей, но удаленной позже информации. ѕоэтому дл€ проведени€ следственных действий с необходимостью поиска электронных документов об€зательно привлечение специалиста или эксперта. Ёто положение подтверждаетс€ существующей следственно-судебной практикой.
Ќаиболее эффективной формой исследовани€ носителей внешней пам€ти с использованием специальных познаний €вл€етс€ судебна€ экспертиза. ƒанна€ форма поиска электронных документов способствует получению результатов, имеющих наибольшее доказательственное значение при исследовании аппаратных, программно-аппаратных и программных средств.
 омпьютерно-техническа€ экспертиза состоит из следующих этапов, направленных на сохранение исходной информации без модификации [2, с. 22Ч24].
1. Ќакопитель внешней пам€ти, содержащий исследуемые электронные документы, подключаетс€ к жесткому диску специалиста (эксперта), и вычисл€етс€ хеш-функци€ информации, содержащейс€ на исходном накопителе. ѕодключение осуществл€етс€ с атрибутом только дл€ чтени€, исключающим случайную модификацию исходной информации.
2. —оздаетс€ точна€ электронна€ копи€ исследуемого накопител€ посредством побитного копировани€ информации. ƒл€ этого можно использовать клонирование содержимого накопител€ внешней пам€ти с помощью специальных программных продуктов (NortonGhost, Forensic, FTK Imager, EnCase, команды dd OS Linux) на жесткий диск специалиста (эксперта).
3. ¬ычисл€етс€ хеш-функци€ клонированного диска, котора€ должна совпадать с исходной хеш-функцией.
4. ѕримен€ютс€ технологии поиска электронной информации на подключенном к стендовому компьютеру клонированном диске специалиста (эксперта).
ƒанна€ методика исключает модификацию исходной электронной информации, позвол€ет провести повторное исследование исходного накопител€ и намного эффективнее загрузки исследуемого системного блока с внешнего накопител€ (дискеты, флешки, CD или DVD диска), так как структура файловой системы исходного накопител€ может отличатьс€ от той, кака€ имеетс€ на загрузочном внешнем накопителе (FAT16, FAT32, NTFS, EXT2, EXT3, MacOS Extended и др.). ѕри отличии файловых систем данных накопителей разделы исследуемого на-
копител€ не будут обнаружены и может возникнуть иллюзи€ отсутстви€ электронной информации на исследуемом накопителе.
 роме этого, подключение любого внешнего устройства по интерфейсу USB вносит изменени€ в реестр операционной системы исследуемого накопител€, в котором фиксируетс€ подключение нового внешнего устройства, а также может вызвать повреждение аппаратуры (микросхемы Ђюжного мостаї материнской платы).
Ќеобходимо помнить, что при загрузке операционных систем создаетс€ специальный файл подкачки, расшир€ющий виртуальную пам€ть, создаютс€ резервные копии файлов реестра и внос€тс€ другие изменени€ на накопитель электронной информации. «апущенные программы создают специальные временные файлы дл€ резервного копировани€ и фиксации модификаций редактируемого электронного документа. ќткрытие электронных документов, запуск программных продуктов и навигаци€ по сайтам »нтернета вызывает модификацию служебных файлов операционной системы, оставл€ет следы в истории работы, папках, содержащих временные и LOG-файлы, а также специальных папках, содержащих следы работы в »нтернете. ѕри создании или копировании на носитель внешней пам€ти новых файлов измен€етс€ информаци€ в кластерах, отмечен-ныхоперационной системой каксвободные или неиспользуемые, которые могут содержать удаленные файлы. ƒанные процессы записывают новую информацию поверх существовавших ранее удаленных электронных документов, которые возможно было восстановить и благодар€ им воссоздать криминалистически важные следы, способствующие расследованию рассматриваемых преступлений.
ѕоэтому предполагаетс€, что поиск электронных документов на дубликатах накопителей внешней пам€ти необходимо проводить на стендовом компьютере специалиста (эксперта), который содержит специализированное программное обеспечение, работающее с различными файловыми системами. ѕри этом представленный на исследование компьютер не включаетс€ и не происходит модификаци€ данных, уничтожение существующих, удаленных или поврежденных файлов на носител€х электронной информации.
„то касаетс€ поиска полной и достоверной электронной информации о признаках совершени€ преступлений, нельз€ ограничиватьс€ только исследованием машинных носителей подозреваемых лиц. Ёлектронна€ информаци€,
свидетельствующа€ о совершении преступлений, может быть известна ограниченному кругу лиц, заинтересованных в ее сокрытии. ѕри этом примен€етс€ весь арсенал защиты информации и маскировки преступной де€тельности. Ёлектронные документы, содержащие следы преступлений, пр€чутс€ злоумышленниками в »нтернете, использу€ облачные технологии внешних удаленных серверов, а также могут быть выложены в социальных сет€х, замаскированные под фотографи€ми или звуковыми треками с помощью стеганографических программ и различных методов шифровани€, как симметричного, так и шифровани€ с открытым ключом, свободно выложенным в сети Ђ»нтернетї. »нформационный трафик электронных документов можно отследить с помощью специальных программ. Ёто требует посто€нного мониторинга открытых ресурсов информационных сетей.
ƒл€ использовани€ поисковых технологий вы€влени€ признаков преступлений в среде »нтернет сотрудники правоохранительных органов должны иметь представление о возможност€х существующих программных продуктов, возможност€х экспертных подразделений, обладать компетенцией в компьютерных технологи€х поиска информации в »нтернете дл€ вы€влени€ лиц, фактов и следов преступных де€ний.
 ак уже отмечалось, в ходе проведени€ оперативно-разыскных меропри€тий необходимо участие специалистов дл€ поиска фото-, видео-, аудио- и других электронных документов, свидетельствующих о подготовке или совершении преступлений. ѕри вы€влении электронных документов в сети Ђ»нтернетї необходимо определить 1–-адрес, местоположение и врем€ доступа злоумышленника к глобальным ресурсам в преступных цел€х, таких как осуществление несанкционированного доступа к определенному ресурсу сети с целью копировани€, модификации информации, различных видов мошенничества, распространени€ порнографии, торговли запрещенными товарами и услугами, пропаганды терроризма и информационной войны, перехвата идентификационных данных пользовател€ и их пластиковых карт, а также использование удаленного управлени€ компьютером дл€ организации распределенных роб Ч атак на защищенные ресурсы.
¬о всех указанных случа€х несанкционированного доступа к электронной информации определение источника угроз сводитс€ к определению местоположени€ и личных дан-
ных преступника по IP-адресу его средства компьютерной техники. ƒанный адрес можно определить как стандартными командами операционной системы ping и netstat Ч aon, так и по доменному имени с помощью специальных сервисов на сайтах »нтернета или с помощью специальных программ, таких как онлайн-сниф-фер, который в лог-файле собирает данные о подключени€х. ’от€ существуют и более сложные методы определени€ IP-адреса компьютера злоумышленника. ќдин из методов состоит в анализе лог-файлов HTTP-сервера. ƒанный метод основан на том, что в лог-файлах сервера, предоставл€ющего хостинг WEB-сайту, всегда фиксируетс€ IP-адрес средства вычислительной техники, с которой поступил запрос. Ќапример, часть лог-файла программы Small HTTP Server [3].
ѕреступник, как правило, использует динамический IP-адрес, предоставленный провайдером или анонимными прокси-серверами, а также последовательностью нескольких анонимных прокси-серверов. “акже злоумышленники примен€ют јнтијќЌ и другие программные средства, маскирующие реальный IP-адрес. »спользу€ сервисы, предоставл€емые различными сайтами »нтернета, можно определить местоположение злоумышленника или получить дополнительную информацию, такую как, пользуетс€ ли искомый абонент прокси-сервером. ѕримером такого сервиса может служить 2ip.ru, позвол€ющий определить и свой IP-адрес и IP-адрес любого сайта, провайдера, а также использование прокси-сервера и др.
¬се это возможно, исход€ из правил обмена данными по HTTP и другим протоколам прикладного уровн€. —огласно им при установлении соединени€ клиента с сервером WEB-серверу передаетс€ следующа€ электронна€ информаци€ [4]:
Ч название и верси€ операционной системы;
Ч название и верси€ браузера;
Ч настройки браузера;
Ч IP-адрес клиента (если используетс€ прокси, то замен€етс€ прокси-сервером на IP-прокси);
Ч используетс€ ли прокси-сервер (если используетс€, то IP-клиента Ч это IP прокси) Ч добавл€етс€ прокси-сервером;
Ч если используетс€ прокси, то реальный IP-адрес абонента добавл€етс€ прокси-сервером;
Ч друга€ информаци€.
¬ случае использовани€ анонимного прокси-сервера существует как минимум два спо-
соба определени€ реального IP-адреса [5, с. 164Ч168]:
Ч принуждение злоумышленника выполнить активный сценарий JavaScript или VBScript, ActiveX, plug-ins дл€ программ-браузеров, программу Java на открываемом сайте, которые могут передавать реальный IP-адрес злоумышленника напр€мую, мину€ прокси-сервер;
Ч получение журналов в виде лог-файлов с прокси-сервера путем официальных запросов или с помощью методов интернет-разведки.
Ќеобходимо понимать, что реальность определени€ IP-адреса за прокси-сервером основана на технологи€х »нтернета, структуре IP, TCP-пакетов и на том, что любой прокси-сервер ведет протокол своей работы, в котором подробно описано, какой IP-адрес, в какое врем€ и куда обращаетс€.
—отрудники органов предварительного расследовани€ и оперативных подразделений дл€ получени€ информации вправе использовать все доступные автоматизированные информационно-поисковые системы, содержащие оперативные и криминалистические учеты, справочные и иные базы данных, технологии интернет и геоинформационные технологии.  роме того, они могут использовать различные технические средства получени€ информации, такие как фотоаппараты, видеокамеры, диктофоны и другие дл€ фото-, видеосъемки и аудиозаписи противоправной де€тельности лиц. ƒанные электронные документы могут быть получены как самосто€тельно, так и найдены в сети Ђ»нтернетї.
ѕрименение электронных документов в доказывании придает большую нагл€дность и объективность результатам проведенных оперативно-разыскных меропри€тий и следственных действий, а также увеличивает их доказательственное значение в суде. ѕосто€нное обновление и совершенствование программных и аппаратных средств вызывает необходимость повышени€ уровн€ квалификации работников оперативных и следственных органов дл€ изучени€ новых технологий получени€, переработки и передачи информации.
— другой стороны, электронные документы подвергаютс€ критике в судебном делопроизводстве с точки зрени€ допустимости и достоверности как документы, которые легко модифицировать, подделать с помощью современных графических, видео- и аудиоре-дакторов. ≈сть мнени€, что благодар€ данным монтажным программным и аппаратным средствам, существуют возможности внесени€ в
цифровые фонограммы таких изменений, которые проще скрыть при копировании, а значит, они могут быть не обнаружены при проведении экспертизы [6, с. 29].
“акие суждени€ используютс€ дл€ создани€ мифа о ненадежности электронной информации при доказывании по уголовным делам [7, с. 24]. ќднако все это может быть проверено при проведении повторной и дополнительной экспертиз. ƒл€ защиты электронных документов созданы такие средства, как электронна€ подпись и хеш-функци€. ƒокумент, подписанный электронной подписью, недопустимо признавать не имеющим юридической силы только на основании того, что така€ электронна€ подпись создана не собственноручно, а с использованием средств электронной подписи дл€ автоматического создани€ и (или) автоматической проверки электронных подписей в информационной системе [8].
Ёлектронные документы, полученные в процессе уголовного делопроизводства, могут использоватьс€ в качестве доказательств независимо от того, в результате чьих действий они по€вились в реальности. Ќаиболее важен вопрос относимости к расследуемому уголовному делу, помогающему установить обсто€тельства совершени€ преступлени€, зафиксированные с помощью технических средств и доступных суду.
»з вышесказанного следуют выводы:
Ч электронные документы в качестве вещественных доказательств стирают грань между результатами оперативно-разыскной де€тельности и уголовно-процессуальной;
Ч необходимо ввести в число источников доказательств новый источник Ч электронное доказательство;
Ч необходимо усиление возможностей специалистов (экспертов) при проверке такого рода доказательств на всех стади€х судебного процесса.
ћы считаем, что пришло врем€ мен€ть правила, определ€ющие доказательство и его свойства, а также использование доказательств в доказывании. ¬ первую очередь суду необходимо ориентироватьс€ на относимость электронной информации к делу и способность ее оказать вли€ние на объективное разрешение уголовного дела. ¬ принципиальном плане необходима деформализаци€ доказывани€, заключающа€с€ в реформе досудебного производства по типу полицейского дознани€. ќрганы полиции должны обладать правом получать электронную информацию об обсто€тельствах происшестви€, использу€ способы, предусмо-
тренные любыми законами (административным, уголовно-процессуальным, ‘едеральным законом от 12 августа 1995 года є 144-‘« Ђќб оперативно-розыскной де€тельностиї [9] и др.).
ѕримечани€
1.  раснова Ћ.Ѕ.  омпьютерные объекты в уголовном процессе и криминалистике: атореф. дис. ... канд. юрид. наук. ¬оронеж, 2005.
2.  остин ѕ.¬. »сследование машинных носителей информации при расследовании преступлений в сфере экономики: учебное пособие. Ќ. Ќовгород, 2009.
3. URL: ttp://hpc.name/text/get/542/p1.html
4. URL: ttp://www.kakprosto.ru/kak-104031-kak-op redelit-mestonahozhdenie-po-ip-adresu#ixzz33kEBiu4y
5. Ћабутин Ќ.√. Ќекоторые способы поиска и определени€ местонахождени€ злоумышленников в сети »нтернет // ћатематические методы и информационно-технические средства: сборник материалов XI ¬сероссийской научно-практической конференции.  раснодар, 2014.
6. √ал€шина ≈.». ¬озможности использовани€ цифровой фонограммы как доказательства // Ёксперт-криминалист. 2008. є 4.
7. Ѕелыхё.Ћ. —удебное исследование аудиодоку-ментов (процессуально-криминалистический аспект) // Ёксперт-криминалист. 2006. є 4.
8. ќб электронной подписи: федеральный закон от 6 апрел€ 2011 г. є 63-‘Ё (ред. от 05.04.2013)
// —обрание законодательства –‘. 2011. є 15, ст. 2036.
9. —обрание законодательства –‘. 1995. є 33, ст. 3349.
Notes
1. Krasnov L.B. Computer objects in criminal proceedings and criminology: dissertation of the candidate of legal sciences. Voronezh, 2005.
2. Kostin P. V. The study of computer media in the investigation of crimes in the sphere of economy: textbook. Nizhny Novgorod, 2009.
3. URL: https://hpc.name/text/get/542/p1.html
4. URL: http://www.kakprosto.ru/kak-104031-kak-opredelit-mestonahozhdenie-po-ip-adresu#ixzz33kE Biu4y
5. Labutin N.G. Some ways to search and locate the intruders on the Internet. // Mathematical methods and information technology tools: proceedings of the XI All-Russian scientific-practical conference. Krasnodar, 2014.
6. Galyashina E.I. The possibility of using digital soundtracks as evidence // Criminal expert. 2008. є 4.
7. Belyh Y.L. Judicial Studies audio materials (procedural forensic aspect) // Criminal expert. 2006. є 4.
8. On electronic signature: the federal law of 06.04.2011 є 63-FZ (ed. by 04.05.2013) // Collection of legislative acts of the RF. 2011. є 15, art. 2036.
9. Collection of legislative acts of the RF. 1995. є 33, art. 3349.

пїњ