Понятие, свойства и криминалистическое значение компьютерно-технических следов преступления
Ю. В. ГАВРИЛИН
кандидат юридических наук, доцент
Н. Н. ЛЫТКИН (Московский университет МВД России)
Одним из ключевых понятий в криминалистике является понятие следа преступления. Изучению следов преступления, механизма следообразования, свойств следов, основных направлений их использования в процессе расследования посвящены работы основоположников криминалистической науки.
Г. Гросс подчеркивал, что изучение следов, как и всякое научное изучение, должно вестись по известной системе; при этом особое внимание следует уделять вопросам механизма их образования. «Следы человеческой ноги, - писал Г. Гросс - останутся непонятными для наблюдателя до тех пор, пока он не ознакомиться с теми факторами, которые их производят» 1. Иными словами, оттиск обуви содержит информацию не только о подошвенной части обуви, но и о движении стопы, ноги, о действии человека.
Е. Ф. Буринский, показывая криминалистическое значение следов, отмечал: «Ничтожная, едва заметная черточка или маленькое пятно… способно дать эксперту нить, по которой удается добраться до истины, но, чтобы воспользоваться таким указанием, необходимо уметь оценивать значение замеченной черточки или пятна, построить догадку. Это - вечная борьба изобретательности и ловкости подделывателя со знанием, умом и талантом эксперта» 2.
О следах в русской дореволюционной литературе писали И. М. Снигирев 3 и С. Н. Трегубов 4. Если С. Н. Трегубое анализировал в основном приемы работы со следами, то И. М. Снигирев значение следов видел в том, что по ним «можно если не читать, то до некоторой степени восстанавливать происшедшее в данном месте» 5.
Таким образом, уже на первом этапе развития криминалистики как науки в центре внимания ученых оказывается разработка теории следов и механизма следообразования; однако методологические предпосылки остаются в основном на уровне обыденных представлений. Так, например, И. Н. Якимов и в 1925, и в 1935 г. определял понятие следа практически одинаково. Он писал: «…следом называется отпечаток на чем-нибудь. предмета, позволяющий судить об его форме или об его назначении» 6.
В 1935 г. впервые в литературе был употреблен термин «учение о следах» 7, а в 1936 г. - «трасология» 8, хотя нового определения понятия «след» в них не давалось.
Научные исследования С. М. Потапова, а затем Б. И. Шевченко и других ученых привели к тому, что понятие следа, с одной стороны, стало совершенно правомерно связываться с процессами отражения, с другой - сами отражательные процессы рассматривались в аспекте «объект-объектных» отношений, что в известной мере справедливо для трасологических следов.
Работы Г. Л. Грановского по основам трасологии в еще большей степени укрепили позицию, в результате которой возникло понимание всей совокупности следов, состоящей из двух видов: «следов-отображений» и «иных следов», что и было зафиксировано в работах И. Ф. Крылова 9 в «узком» и «широком» понятии следа.
Методолого-теоретические вопросы следоведения разрабатывались также М. В. Салтевским, М. Я. Сегаем, Л. К. Литвиненко и другими учеными. Итоговый анализ состояния частной криминалистической теории о механизмах следообразования выполнен Р. С. Белкиным, который писал: «Нам представляется, что понятие “следы в широком смысле” и “следы в узком смысле” как ничего фактически не означающие и не наполненные конкретным содержанием следует исключить из языка криминалистики и заменить терминами “следы преступления” и “следы отображения (как один из видов следов преступления)”» 10.
Сегодня частная криминалистическая теория следообразования является одной из наиболее разработанных, обладающих мощным понятийным и терминологическим аппаратом. Именно на базе познания механизма следообразования развивается практика поиска и исследования следов, так как «.. .знание механизма образования следов, их классификации позволяет судить о способе совершения отдельных действий, результатом которых данные следы являются, и об особенностях объектов, образующих эти следы» 11.
Структуру криминалистического учения о следах и механизмах следообразования Р. С. Белкин представляет следующим образом 12:
а) понятийная часть: характеристика (гносеологическая, криминалистическая) таких основных понятий, как след, механизм (процесс) следообразования, элементы процесса следообразования и др.;
б) классификационная часть;
в) функциональная часть: следообразующие воздействия и их результаты, информативность последних; моделирование следообразующих воздействий, экспериментирование с ними.
Обобщив точки зрения ряда ученых-криминалистов 13, можно придти к выводу, что следами преступления являются любые изменения окружающей среды, причинно связанные с событием преступления.
Отталкиваясь от указанного базового определения, рассмотрим понятие и свойства компьютерно-технических следов преступления.
Следовая картина преступлений, сопряженных с использованием средств компьютерной техники, весьма специфична и требует разработки принципиально иных методов и средств по сравнению с традиционными. Следы совершения указанных преступлений в силу их специфики редко остаются в виде изменений внешней среды. Они в основном не рассматриваются современной трасологией, поскольку в большинстве случаев носят информационный характер, т. е. представляют собой те или иные изменения в компьютерной информации, имеющие форму ее уничтожения, модификации, копирования, блокирования. Как справедливо отмечает А. В. Касаткин, «при современном развитии вычислительной техники и информационных технологий “компьютерные следы” преступной деятельности имеют широкое распространение. Это должно учитываться следователями и оперативными работниками в их деятельности по собиранию доказательств наряду с поиском уже ставших традиционными следов» 14.
Представляется целесообразным следы преступлений, совершенных с использованием средств компьютерной техники, разделить на два типа: традиционные следы (идеальные следы, следы-отображения, рассматриваемые трасологией, а также следы-вещества и следы-предметы) и нетрадиционные - компьютерно-технические следы.
К первому типу относятся какие-либо рукописные записи, распечатки и т. п., свидетельствующие о приготовлении и совершении преступления. Материальные следы могут остаться на самой вычислительной технике (следы пальцев рук, микрочастицы на клавиатуре, дисководах, принтере и т. д.), а также на магнитных носителях и CD-ROM дисках. Идеальные следы преступления - это отражения события преступления и элементов механизма его совершения в сознании и памяти людей, имеющие психофизиологическую природу формирования и проявляющиеся в виде мысленных образов преступления в целом, отдельных его моментов и участников данного деяния 15.
Понятие компьютерно-технических следов является сравнительно новым в языке криминалистики. В контексте методики расследования преступлений в сфере компьютерной информации следы указанных преступлений рассматривались в работах Ю. М. Батурина и А. М. Жодзишского 16, Н. С. Полевого 17, В. В. Крылова 18, В. Б. Вехова 19, А. В. Сорокина 20, Б. В.Андреева, П. Н. Пака и В. П. Хорста 21, А. Г. Волеводз 22, В. А. Мещерякова 23, Ю. В. Гаврилина 24, А. Ю. Головина 25 и др. В Казахстане вопросам криминологической оценки и профилактики преступлений, совершаемых с использованием компьютерной техники, были посвящены исследования Б. X. Толеубековой 26. Особо следует отметить ряд фундаментальных зарубежные исследований, к которым можно отнести работы по расследованию преступлений, связанных с использованием компьютеров (Icove D., Seger К., VonStorch W. (1995 г.), Rosenblatt К. (1995 г.), Smith J. (1996 г.), материалы Computer Search and Seizure Working Group (1999 г.)), а также по анализу способов сетевых вторжений в Интернет (Howard J. (1996 г.)).
В научной литературе встречается несколько подходов к определению компьютерно-технических следов преступления.
Так, В. А. Милашев в контексте рассмотрения проблем тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ вводит понятие «бинарных следов». При этом он отмечает: «Учитывая, что следами противоправной деятельности являются результаты логических и математических операций с двоичным кодом, мы предлагаем называть их бинарными следами. Под бинарными следами следует понимать изменения компьютерной информации, произошедшие в связи с событием удаленного воздействия» 27.
Представляется, что термин «бинарные следы» не вполне корректен. Это связано с тем, что изменения в компьютерной информации, являющиеся следами преступления, в подавляющем большинстве случаев доступны восприятию не в виде двоичных кодов (что собственно и представляет собой бинарный след), а в преобразованном виде: записи в файле реестра, изменении атрибута файла, электронном почтовом сообщении и т. п. Указанные изменения обнаруживаются и исследуются посредством использования специального программного обеспечения, преобразующего двоичный код в доступную для восприятия форму. Действительно, информацию, сохраненную на машинном носителе в ЭВМ, ее потребитель может воспринять только в том случае, если она воспроизведена устройствами вывода (например, монитором).
В. А. Мещеряков, анализируя особенности формирования следовой картины при совершении преступлений в сфере компьютерной информации, пришел к выводу о необходимости введения понятия «виртуальных следов» (как промежуточных между материальными и идеальными), определяемых как любое изменение состояния автоматизированной информационной системы (образованного ею «кибернетического пространства»), связанное с событием преступления и зафиксированное в виде компьютерной информации (т. е. информации в виде, пригодном для машинной обработки) на материальном носителе, в том числе и на электромагнитном поле 28. «Кибернетическое пространство», по мнению указанного автора, сложносоставной многоуровневый информационный объект, построение которого определяется «особенностями компьютерной информации», а также «принципами построения автоматизированных информационных систем» 29.
Структура восьмиуровневого «кибернетического пространства» выглядит следующим образом: Глобальная информационная сеть (например, Интернет) - Локальная сеть (система ЭВМ) - Средства вычислительной техники (персональный компьютер, большая ЭВМ, специализированное вычислительное устройство) -Элемент средства вычислительной техники как отдельный носитель информации - Информационная структура первого уровня (логический носитель информации) -» Информационная структура второго уровня (файл) -» Информационная структура третьего уровня (запись файла). -» Элементарная информационная группа (слово - 16, 32, 64 или более бит, размещенных рядом друг с другом, байт, бит). В «кибернетическом пространстве», по В. А. Мещерякову, происходит следообразование. Указанные элементы структуры рассматриваются им как аппаратные и информационные объекты, размещенные в соответствии с особенностями группирования образующих объектов совместно с юридическим закреплением принятого способа объединения.
Разработанное сложное системно-структурное построение подтолкнуло его автора на ряд выводов: о неэффективности оперирования в процессе расследования компьютерных преступлений двумя группами следов - материальными и идеальными, происходящего от «механистического» понимания явлений, протекающих в процессе следообразования; об изменении соотношения материальных и идеальных следов компьютерных преступлений в пользу идеальных; о возникновении особой группы «виртуальных следов» компьютерных преступлений, обусловленных процессами, протекающими в «кибернетическом пространстве», недоступных непосредственному восприятию человеком и занимающих промежуточное положение между материальными и идеальными; о неустойчивости «виртуальных следов», обусловленной тем, что, во-первых, они субъективны, так как определяются тем, каким способом были считаны, во-вторых - не имеют жесткой связи с устройством, осуществляющим запись информации, являющейся «виртуальным следом», в-третьих - их можно неправильно считать 30.
Столь радикальный подход В. А. Мещерякова вызвал неоднозначную реакцию ученых-криминалистов и практиков. Наиболее содержательной и точной, по нашему мнению, является точка зрения, высказанная В. Н. Черкасовым, с позицией которого, видимо, следует согласиться. «Появляются трудновоспринимаемые понятия типа “кибернетическое пространство”, в которое, по мнению автора, входит почти все, связанное с компьютерными технологиями», - пишет В. Н. Черкасов 31. - «Как можно соотнести кибернетику - науку управления — и организационно-технический инструментарий, понять нелегко». Накопление таких определений неизбежно ведет к терминологической и понятийной путанице.
Действительно, несмотря на относительную сложность инструментария средств компьютерной техники, ничего принципиально нового в криминалистике не произошло. Появились новые конкретные средства (в том числе средства компьютерной техники), способы совершения преступлений, соответственно возникла безусловная потребность в конкретных методах выявления и фиксации специфичных следов этих преступлений, экспертных методиках и т. д. Однако принципы криминалистического учения о следах не изменились вследствие объективности существования процессов отражения.
Сомнительной, на наш взгляд, выглядит также попытка подмены объектов следообразования некими особыми «информационными (виртуальными) объектами», что допускает предположение об отсутствии следообразующих и следовоспринимающих объектов. Понятие «виртуальный» - устоявшийся термин, применяющийся в квантовой теории поля для характеристики частиц, находящихся в промежуточном состоянии или в состоянии неопределенности (координаты которых и сам факт их существования в данный момент времени можно назвать лишь с определенной долей вероятности). В таком смысле будет понят термин «виртуальный след» любым человеком, знакомым с этим понятием 32. Отметим, что ранее в указанном смысле нами при проведении исследований также использовался термин «виртуальность», однако лишь для обозначения неопределенности следообразующего объекта в данный момент времени на некоем абстрактном промежуточном уровне процесса следообразования, допускающем ситуационную неоднозначность в определении субъекта (предмета), который инициировал локальный процесс обработки компьютерной информации 33.
Анализируя подход В. А. Мещерякова, отметим далее, что использование аппаратно-программных средств для восприятия человеком следов компьютерного преступления является необходимым условием для их успешного обнаружения, фиксации и изъятия. Однако это обстоятельство не может считаться определяющим для введения в понятийный аппарат криминалистики «виртуальных следов». Существует достаточно примеров, когда невидимые глазу следы могут быть выявлены и зафиксированы при помощи научно-технических средств (следы пальцев рук человека, следы на фотопленке и т. д.), что, безусловно, не служит основанием для трансформации языка криминалистики.
Один из авторов этой статьи - Ю. В. Гаврилин, разрабатывая методику расследования преступлений в сфере компьютерной информации, использовал термин «информационные следы преступления». При этом отмечалось, что «информационные следы образуются в результате воздействия (уничтожения, модификации, копирования, блокирования) на компьютерную информацию путем доступа к ней и представляют собой любые изменения компьютерной информации, связанные с событием преступления» 34.
Надо отметить, что информацию о преступлении и его участниках несут любые следы, в том числе и следы-отображения. Указанное свойство следов отмечал (со ссылкой на В Г Коломацкого) Р. С. Белкин: «Генетическое единство (следов. - Ю. Г., Н. Л.) предполагает и обусловливает их информационное единство, а это означает, что каждый след содержит свою порцию информации о событии, а система следов - всю наличную информацию об отражаемом объекте - преступлении» 35. Поэтому представляется более точным именовать изменения компьютерной информации, причинно связанные с событием преступления, компьютерно-техническими следами.
Прежде всего, они остаются на машинных носителях информации и отражают изменения в хранящейся в них информации (по сравнению с исходным состоянием). Речь идет о следах модификации информации (баз данных, программ, текстовых файлов, файлов-отчетов и протоколов работы, системного реестра, учетных записей пользователей сети Интернет и др.), находящейся на жестких дисках ЭВМ, дискетах, магнитных лентах лазерных и магнито-оптических дисках, флеш-картах. Кроме того, магнитные носители могут нести следы уничтожения или модификации информации (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Компьютерно-техническими следами являются также результаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных программ 36, программного обеспечения. Для выявления подобных следов необходимо участие специалистов.
Компьютерно-технические следы могут оставаться и при опосредованном (удаленном) доступе через компьютерные сети, например через Интернет. Они возникают в силу того что система, через которую производится доступ, обладает некоторой информацией- эту информацию система запрашивает у лица, пытающегося соединиться с другим компьютером. Она определяет электронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашивается адрес электронной почты, реальное имя и другие данные. Эту информацию запрашивает системный администратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность проникающего в сеть.
Итак компьютерно-технические следы преступления представляют собой результаты преобразования компьютерной информации, причинно связанные с событием преступления Для того чтобы проанализировать свойства компьютерно-технических следов преступления, необходимо, прежде всего, рассмотреть криминалистически значимые свойства компьютерной информации. А. В. Касаткин определяет криминалистически значимую компьютерную информацию как фактические данные, обработанные компьютером и полученные на его выходе, в форме, доступной восприятию ЭВМ либо человека или передающиеся по телекоммуникационным каналам, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для
правильного разрешения дела 37.
Компьютерная информация как предмет преступного посягательства рассмотрена в трудах
Ю. В. Гаврилина 38, В. В. Крылова 39, В. А. Мещерякова 40, Н. Г. Шурухнова 41 и др.
Содержательный анализ работ указанных авторов позволяет выявить следующие свойства компьютерной информации, имеющие значение для практики раскрытия и расследования преступлений:
1) данная информация, как правило, очень объемна и быстро обрабатываема. Например, компьютер с жестким диском 100 Гигабайт может хранить информацию, равную ста тысячам 500-страничных томов;
2) эта информация очень легко и, как правило, бесследно уничтожаема. Для уничтожения компьютерной информации, равной 500 страницам текста, необходимы два нажатия клавиши клавиатуры, - через секунду вся она будет стерта. Для сжигания 500 страниц машинописного или рукописного текста необходимы специальные условия и значительный промежуток времени;
3) компьютерная информация обезличена, т. е. между ней и лицом, которому она принадлежит, нет жесткой связи;
4) данный вид информации может находиться лишь на машинном носителе (дискете, магнитной ленте, лазерном диске, полупроводниковых схемах и др.), в самой ЭВМ (оперативной памяти - ОЗУ);
5) рассматриваемый вид информации может создаваться, изменяться, копироваться, применяться (использоваться) только с помощью ЭВМ при наличии соответствующих периферийных устройств чтения машинных носителей информации (дисководы, устройства чтения лазерных дисков (CD-ROM), стримеры, устройства чтения цифровых видеодисков и др.);
6) эта информация легко передается по телекоммуникационным каналам связи компьютерных сетей, причем практически любой объем информации можно передать на любое расстояние 42.
Кроме того, можно отметить относительную простоту в пересылке, преобразовании, размножении компьютерной информации; при изъятии информации, в отличие от изъятия вещи, она легко сохраняется в первоисточнике; доступ к одному и тому же файлу, содержащему информацию, могут иметь одновременно несколько пользователей.
Рассматривая компьютерно-технические следы преступления как специфическую разновидность компьютерной информации, в дополнение к указанному выше, следует выделить следующие их свойства.
1. Компьютерно-технический след является отражением события преступления в информационном поле.
2. Являясь материальными по своей природе, компьютерно-технические следы не отражают пространственную форму следообразующего объекта.
3. Данные следы обладают способностью к дублированию, т. е. переносу (копированию) на другие носители информации без какого-либо изменения их характеристик.
1 Гросс Г. Руководство для судебных следователей как система криминалистики. СПб., 1908. С. 615.
2 Буринский Е. Ф. Судебная экспертиза документов. СПб., 1903. С. 40.
3 Снигирев И. М. О сыске. Касимов, 1908.
4 Трегубов С. Н. Основы уголовной техники. Пг., 1915.
5 Снигирев И. М. Указ. соч. С. 73.
6 Якимов Н. И. Практическое руководство к расследованию преступлений. М., 1924; Он же. Осмотр. М., 1935. С. 44.
7 Криминалистика. М., 1935. С. 23.
8 Систематический библиографический указатель литературы по криминалистике. Минск, 1936. С. 124.
9 Грановский Г. Л. Основы трасологии. М., 1965; Крылов И. Ф. Следы на месте преступления. Л., 1961. С. 7; Он же. Криминалистическое учение о следах. Л., 1976, С. 51.
10 Белкин Р. С. Курс криминалистики. М., 1999. С. 57.
11 Пророков И. И. Общие положения трасологии // Криминалистическая экспертиза. 1968. Вып. 6. С. 7.
12 Белкин Р. С. Курс криминалистики. С. 56.
13 См. Крылов И. Ф. Следы на месте преступления. С. 7; Сорокин В. С. Обнаружение и фиксация следов на месте происшествия. М., 1966. С. 3; Грановский Л. Г. Основы трасологии. С. 6.
14 Касаткин А. В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Автореф. дис. … канд. юрид. наук. М., 1997. С. 14.
15 Гаврилин Ю. В., Головин А. Ю., Тишутина И. В. Криминалистика. Толкование понятий учебного курса: Учеб. пособие / Под ред. А. Ю. Головина. М, 2005. С. 19.
16 Батурин Ю. М, Жодзишский А. М. Компьютерная преступность и компьютерная безопасность. М, 1991.
17 Компьютерные технологии в юридической деятельности / Под ред. Н. С. Полевого. М., 1994.
18 Крылов В. В. Информационные компьютерные преступления. М., 1997; Он же. Расследование преступлений в сфере информации. М., 1998.
19 Вехов В. Б. Компьютерные преступления. Способы совершения. Методики расследования. М., 1996.
20 Сорокин А. В. Компьютерные преступления: уголовно-правовая характеристика, методика и практика раскрытия и расследования. Курган, 1999.
21 Андреев Б. В., Пак П. И., Хорст В. П. Расследование преступлений в сфере компьютерной информации. М., 2001.
22 Волеводз А. Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. М., 2002.
23 Мещеряков В. А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж, 2002.
24 Гаврилин Ю. В. Расследование неправомерного доступа к компьютерной информации: Учеб. пособие. М, 2001; Преступления в сфере компьютерной информации: квалификация и доказывание: Учеб. пособие / Под ред. Ю. В. Гаврилина. М., 2003.
25 Головин А. Ю., Мусава У. А., Толстухина Т. В. Актуальные проблемы расследования преступлений в сфере компьютерной информации. Тула, 2001.
26 Толеубекова Б. X. Социология компьютерной преступности: Учеб. пособие, Караганда, 1992; Она же. Криминалистическая характеристика компьютерных преступлений: Учеб. пособие. Караганда, 1993.
27 Милашев В. А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: Автореф. дис. … канд. юрид. наук. М., 2004. С. 18.
28 Мещеряков В. А. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. … д-ра юрид. наук. Воронеж, 2001. С. 21.
29 Мещеряков В. А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж, 2002. С. 96-101.
30 См.: Мещеряков В. А. Преступления в сфере компьютерной информации… С. 101-104.
31 Черкасов В. Н, Нехорошее А. Б. Кто живет в «киберпространстве»? // Управление защитой информации. 2003. Т. 7. № 4. С. 467-469.
32 Черкасов В. К, Нехорошее А. Б. Указ. соч. С. 468.
33 Козлов В. Е. Теория и практика борьбы с компьютерной преступностью. М., 2002. С. 144.
34 Преступления в сфере компьютерной информации: квалификация и доказывание. С. 79.
35 Белкин Р. С. Криминалистика: проблемы сегодняшнего дня. Злободневные вопросы российской криминалистики. М., 2001. С. 61.
36 Напр, результаты работы широко распространенной антивирусной программы «DrWeb» отражаются в файле «report, web», содержимое которого можно легко просмотреть.
37 См.: Касаткин А. В. Тактика собирания и использования компьютерной информации при расследовании преступлений: Автореф. дис…. канд. юрид. наук. М., 1997. С. 13.
38 См. Гаврилин Ю В Расследование неправомерного доступа к компьютерной информации. Дис. кавд юрид. наук. М., 2000. С. 65-67; Гаврилин Ю. В. Расследование неправомерного доступа к компьютерной информации: Учеб, пособие. С. 34-35; Преступления в сфере компьютерной информации: квалификация и доказывание. С. 12-13.
39 См.: Крылов В В Расследование преступлений в сфере информации. С. 41-08.
40 Мещеряков В. А. Основы методики расследования преступлений в сфере компьютерной информации’ Дис. … д-ра юрид. наук. Воронеж, 2001. С. 89-102.
41 Расследование неправомерного доступа к компьютерной информации: Науч. -практ. пособие / Под ред. Н. Г. Шурухнова. 2-е изд. М., 2004. С. 162-165.
42 Шурухнов Н. Т., Левченко И. П., Лучин И. Н. Специфика проведения обыска при изъятии компьютерной информации // Актуальные проблемы совершенствования деятельности ОВД в новых экономических и социальных условиях. М., 1997. С. 208.