Начиная с семидесятых годов прошлого столетия, сотрудники правоохранительных органов все чаще и чаще стали сталкиваться с тем, что при расследовании различных видов уголовных дел в качестве доказательств стала фигурировать компьютерная информация (computer information).

Фигурирует компьютерная информация, зафиксированная на переносимых или встроенных в средства компьютерной техники машинных носителях. За рубежом подобная информация при ее использовании в рамках уголовного судопроизводства получила условное название — «компьютерные доказательства» (computer evidence), которые J.W. Chisum определял как «любые зафиксированные (записанные) или переданные с помощью компьютера данные, которые доказывают или опровергают событие преступления, содержат сведения о его подготовке или намерении его совершить или устанавливают алиби подозреваемого».

Сотрудники правоохранительных органов, в подавляющем большинстве случаев, связывают компьютерные доказательства только с расследованием так называемых компьютерных преступлений. Однако в современных условиях компьютерные доказательства могут быть использованы при расследовании широкого круга противоправных действий, в т.ч. и при расследовании убийств.

В настоящей статье автор приводит несколько примеров, которые покажут важность использования таких нетрадиционных доказательств. Но для того, чтобы понять, что и как может быть использовано при предварительном расследовании убийств, необходимо привести краткую классификацию компьютерных доказательств.

Основанием разделения компьютерных доказательств на группы будет являться их функциональное назначение.

Первой группой, без которой в принципе невозможна эксплуатация любой компьютерной техники, будут являться программы (операционные системы и программы прикладного назначения).

Ко второй группе относятся электронные документы, содержащие текст, изображения или их сочетание, создаваемые с помощью программно-аппаратных средств компьютерной и периферийной техники.

К третьей группе компьютерных доказательств будет относиться информация, которая создается и фиксируется при работе пользователя с программно-аппаратными средствами микропроцессорной техники в специальных служебных файлах, так называемых журналах, файлах историй, временных файлах и т.п. Эта группа информации, в подавляющем большинстве случаев, создается автоматически, вне зависимости от желания пользователя, и имеет особо важное значение при обнаружении следов преступлений или, наоборот, при доказательстве алиби подозреваемого.

К четвертой группе будут относиться целенаправленно удаленные (стертые) пользователем средств компьютерной техники файлы, или автоматически удаляемые вне зависимости от воли пользователя, а также фрагменты подобных файлов.

Пример 1. Вечером в пятницу, 15 ноября 2004 года, в своем рабочем кабинете был убит руководитель одной коммерческой фирмы. Тело было обнаружено уборщицей только в понедельник (18 ноября) утром. Следствие в первую очередь интересовало время совершения преступления, поскольку оно могло установить круг лиц, находившихся в это время в здании коммерческой фирмы. На рабочем столе погибшего находился ноутбук, и поэтому следователь первоначально поставил перед экспертами, специализирующимися в области исследования информационных компьютерных средств, вопрос о времени выключения компьютера 15 ноября 2004 года. При проведении исследования эксперты установили, что представленный на исследование ноутбук был выключен 15 ноября 2004 года в 21.15. Но кто это сделал — сам директор или его убийца, непосредственно по компьютерным доказательствам установить не представлялось возможным. Анализируя информацию о работе пользователя, сохранившейся в служебных файлах, эксперты установили, что кто-то включал ноутбук уже после смерти руководителя 16 и 17 ноября. При этом не заметить труп было невозможно (тело лежало в нише рабочего стола). Эксперты установили точные временные отметки включения и выключения ноутбука 16 и 17 ноября.

Экспертами также было установлено, что, в частности, 16 и 17 ноября просматривались и удалялись отдельные файлы, содержащие сведения о коммерческой деятельности фирмы, а также осуществлялись получение и передача электронной почты.

По показаниям охранников, в субботу и воскресенье на работу выходил только один из сотрудников данной организации, но последний утверждал, что работал в своем кабинете и в кабинет руководителя не заходил. Но при этом временные отметки работы с ноутбуком потерпевшего полностью совпадали со временем нахождения подозреваемого сотрудника в здании организации. В дальнейшем с клавиатуры и кнопки включения ноутбука были сняты отпечатки пальцев, которые полностью совпали с отпечатками пальцев подозреваемого.

Пример 2. В одной из квартир было совершено тройное убийство (убиты: гр-н А., его мать и бабушка). Убийца или убийцы, с целью сокрытия следов преступления, подожгли квартиру. Пожар и тушившие его пожарные практически полностью уничтожили все возможные следы совершения данного преступления. Следователь, проводящий расследование данного уголовного дела, изъял с места происшествия системный блок персонального компьютера, который в значительной степени был поврежден в результате высокотемпературного воздействия.

Но при исследовании экспертами было установлено, что накопитель на жестких магнитных дисках (в обиходе — «винчестер») является работоспособным. Следователь ориентировал экспертов на поиск любой информации, которая может оказаться полезной для целей расследования этого тяжкого преступления.

Просматривая и анализируя файлы, созданные или записанные пользователем, представленного на исследование системного блока, сведения о работе с какими-либо программами, эксперты обнаружили файлы полученных электронных сообщений, в которых содержались угрозы убийства гр-на А. из-за невозврата крупной суммы денежных средств, занятой в долг. В дальнейшем по электронному адресу удалось установить отправителя этих сообщений, и уголовное дело было раскрыто.

Для целей расследования убийства (и не только их) важное значение может иметь не только информация о передаче или приеме электронных сообщений посредством одного из сервисов информационной сети Интернет, но и то, какую информацию ищет пользователь в глобальной информационной паутине. Так, например, анализом информационных запросов на компьютере американца Р. Дерола было установлено, что он задолго до доказанного факта убийства им своей жены с маскировкой под несчастный случай искал в сети Интернет сведения на темы: «убивают + супруг (супруга)», «несчастный случай + смертельные случаи», «удушье» и «убийство» и т.п.

Вышеприведенные примеры достаточно четко показывают возможность использования компьютерных доказательств при расследовании убийств при отсутствии других традиционных следов преступлений. Но при этом необходимо помнить, что компьютерные доказательства могут содержаться не только на машинных носителях, установленных в средствах компьютерной техники, но и на переносимых машинных носителях (оптических дисках, так называемых флэшках и т.п.). Компьютерные доказательства могут представлять собой информацию, циркулирующую (передаваемую) или размещенную в локальных и глобальных компьютерных сетях, информацию, хранимую у посредников передачи данных (операторов сотовой связи и провайдеров сети Интернет), информацию, хранимую у операторов локальных и глобальных навигационно-мониторинговых систем.

На основе компьютерных доказательств могут быть установлены мотивы преступления, определены места и время его совершения, местонахождение преступников и его жертв. Они могут даже содержать информацию о намерении совершить то или иное противоправное действие.

В современных условиях, работая на месте преступления, или по месту работы или проживания подозреваемых, следователи должны быть обязательно ориентированы не только на изъятие традиционных видов доказательств, но и на изъятие всех типов носителей машинной информации, аппаратных средств цифровой техники, которые потенциально могут содержать доказательственную информацию. Если этого не сделать при проведении первоначальных следственных действий, то помимо потерянного времени можно впоследствии вообще лишиться этой группы доказательств, поскольку они могут быть легко уничтожены без какой-либо возможности их восстановления.

И если даже информация на машинных носителях не содержит сведений о событии и составе расследуемого преступления, она зачастую может оказаться полезной для целей предварительного или судебного расследования уголовных дел. Так, например, наличие на машинных носителях тех или иных программ прикладного назначения может характеризовать уровень компьютерной грамотности лица, у которого аппаратные средства цифровой техники были изъяты. Или наличие на машинных носителях программ безопасного (полного) удаления файлов и сведений об их запуске может свидетельствовать о том, что пользователем удалялась информация, доступ к которой не должны были получить посторонние лица, в т.ч. и оперативно-следственные работники. В некоторых случаях информация на машинных носителях может свидетельствовать и о невиновности лица, подозреваемого в совершении преступления.

Взято с http://www.sec.ru