Применение специальных познаний при проверке «цифрового алиби»

Иванов Н.А.

Заведующий сектором компьютерно–технических экспертиз
ГУ «Омская лаборатория судебной экспертизы Минюста РФ»,
кандидат юридических наук

В современных условиях всеобщей компьютеризации существует возможность установления алиби в том случае, если подозреваемый заявляет, что в момент совершения преступления он работал на компьютере в другом месте.

Доказанный факт того, что подозреваемый или обвиняемый в момент совершения преступления работал на компьютере не в месте совершения преступления, за рубежом получило условное название «цифрового алиби» (digital alibi). Данный термин обусловлен тем, что в качестве основного источника доказательств алиби выступает информация, записанная в цифровой форме на машинных носителях (накопителях на жестких магнитных дисках (в обиходе — винчестерах), гибких магнитных дисках и т.п.), получившая на звание «цифровые доказательства» (digital evidence).

Факт «цифрового алиби» будет доказан лишь в том случае, когда показания подозреваемого о том, что в момент совершения преступления работал со средствами компьютерной техники, совпадут с данными, которые будут получены в результате проведения компьютерно–технической экспертизы.

Естественно, что только данных о том, что пользователь включил компьютер в десять часов утра и выключил его в шесть часов вечера, недостаточно. Подозреваемый, по крайней мере, должен указать, с какими программами или файлами работал, распечатывал или сканировал документы, записывал ли файлы на какие–либо носители (на пример, компакт–диски), имел ли доступ к информации, расположенной на машинных носителях в локальной или глобальной (Интернет) сети компьютеров и т.п.

В ходе проверки изымается системный блок персонального компьютера, и в том случае, если заявляется, что в проверяемый период времени осуществлялась запись на машинные носители информации (дискеты, компакт–диски и т.п.), изымаются и они. На разрешение компьютерно–технической экспертизы ставятся, как правило, следующие вопросы.

1. Имеется ли на машинных носителях (накопителе на жестких магнитных дисках системного блока персонального компьютера, локальных машинных носителях (дискетах и компакт–дисках)) информация о том, что пользователь осуществлял работу на персональном компьютере в определенный период времени (указывается дата и время)?

2. Если да, то когда (указать временные отметки) и с какими программами и файлами, периферийным оборудованием, работал пользователь в указанный период времени?

3. Когда была осуществлена запись информации на дискеты (компакт–диски)?

Решение этих вопросов обусловлено следующим. При включении и выключении компьютера, работе на нем с какими–либо программами и пользовательскими файлами, в локальной сети или в сети Интернет, подключенным к системному блоку персонального компьютера периферийным оборудованием и т.п. практически всегда в каких–либо системных файлах фиксируется специфическая информация. Так, например, в файле журнала событий [1] фиксируется время включения и выключения компьютера, в т.ч. и аварийное завершение работы в результате отключения электропитания.

В системной папке Recent можно обнаружить так называемые ярлыки, которые дают информацию о том, с какими файлами и программами работал пользователь, и временные характеристики до ступа или обращения к ним. С использованием специальных программ можно установить не только время создания и последнего изменения текстового или графического файла, но и время последнего доступа к нему, последнего вывода на печать, время удаления файла и т.п.

Изучением содержания других системных папок можно установить список посещаемых пользователем сайтов в глобальной сети Интернет и временные отметки доступа пользователя к сетевым ресурсам.

При осуществлении записи файлов на компакт диск с помощью программы NERO создается так называемый файл истории (logfile), в котором фиксируются не только временные отметки и другая не менее важная информация. Так, при проведении одной экспертизы были установлены не только временные отметки записи файлов на компакт–диск, но и название фирмы–производителя компакт–диска, объем записанной информации и наименование устройства для записи. Последнее на момент проведения исследования в системном блоке отсутствовало, но информация о том, что устройство чтения/ записи на оптические диски ранее было установлено в системном блоке, была обнаружена.

Доказательное значение временных отметок цифровых доказательств обусловлено наличием в системном блоке персонального компьютера так называемых компьютерных часов, ход которых от считывается встроенным тактовым генератором и фиксируется в изменяемой части BIOS (базовой системе ввода–вывода). Настройки времени и даты в компьютерных часах либо устанавливаются персонально пользователем или они синхронизируются автоматически через какой–то определено заданный период с данными на специальном временном сервере.

В наибольшей степени ход компьютерных часов наиболее точен, когда они синхронизируются с временным сервером локальной сети или сервером, локализованным во Всемирной глобальной сети (например, www.time.windows.com).

Показываемое компьютерными часами время, устанавливаемые непосредственно пользователем, практически в той или иной степени никогда не совпадает с реальным мировым временем. Американский исследователь провел исследование 350 компьютеров, в результате которого было по казано, что в 95% случаев отклонение временных характеристик компьютерных часов от реального времени не превышает +10 минут [2].

Как правило, искусственные попытки «отката» даты и времени в целях обеспечения ложного «цифрового алиби» раскрываются в ходе проведения компьютерно–технической экспертизы. Так, при проведении одной экспертизы было до казано, что представленный компакт–диск был записан не 12 декабря, как это утверждал подозреваемый, а не ранее 28 декабря. Наличие информации о том, что производился перевод компьютерных часов назад или осуществлялся факт фальсификации цифровых доказательств, в том или ином объеме может быть обнаружено при проведении экспертизы. Это обусловлено тем, что практически никто не знает в полном объеме сведения об изменении временных характеристик всех файлов или информации в них, изменение которых происходит при работе пользователя на компьютере. Пользователь, уничтожая или модифицируя одни цифровые доказательства, при этом создает другие.

Информация, получаемая в ходе проведения компьютерно–технической экспертизы, может не только подтверждать «цифровое алиби», но и на оборот — его опровергать. В подтверждение данного положения приведем несколько примеров.

Вечером в пятницу в своем рабочем кабинете был убит руководитель одной из коммерческих фирм. Тело было обнаружено только в понедельник утром. По показаниям вахтеров, в субботу и воскресенье на работу выходил один из сотрудников данной организации, но последний утверждал, что в кабинет руководителя он не заходил. В ходе расследования уголовного дела был изъят системный блок персонального компьютера, установленный в кабинете директора. При проведении компьютерно–технической экспертизы было установлено, что в субботу и в воскресенье каким–то пользователем осуществлялась работа на данном компьютере, в частности просматривались и удалялись файлы, осуществлялось получение электронной почты. Временные отметки данных операций совпадали со временем нахождения подозреваемого в здании организации. Если бы с клавишей клавиатуры и кнопки включения компьютера были изъяты отпечатки пальцев, то можно было бы установить, кто последний осуществлял работу с данными средствами компьютерной техники.

По электронной почте на почтовый ящик одного из образовательных учреждений г. Омска поступило сообщение о готовившемся террористическом акте. В ходе проведения оперативно–розыскных мероприятий был установлен номер телефона, к которому был подключен компьютер отправителя электронного сообщения. При обыске в квартире, в которой был установлен телефон, был обнаружен только накопитель на жестких магнитных дисках. Подозреваемая утверждала, что сообщения не отправляла, компьютера у нее нет, а обнаруженный винчестер остался от старого демонтированного компьютера. При проведении компьютерно–технической экспертизы изъятого винчестера было установлено, что ранее он был установлен в системного блоке, в состав которого входил и внутренний модем, с помощью которого можно было подключаться к глобальной сети Интернет. Обнаружены программы, с помощью которых можно было осуществлять прием и передачу электронных сообщений по e–mail. В удаленной с винчестера информации был обнаружен файл, содержащий текст сообщения, аналогичный полученному в образовательном учреждении, а также установлены временные характеристики создания, отправки и удаления данного сообщения. На последнем этапе расследования требовалось лишь определить круг лиц, находившихся в квартире в момент отправки сообщения, поскольку при проведении компьютерно–технической экспертизы невозможно установить фамилию пользователя средств компьютерных средств. Оперативно–следственным путем было установлено, что в квартире в момент отправки сообщения других лиц не находилось. Результатом проведения автороведческой экспертизы стал вывод о том, что автором текста сообщения является именно подозреваемая.

Автору, работая уже несколько лет в области исследования информационных компьютерных средств, с сожалением приходится констатировать, что оперативно–следственные работники до сих пор мало знакомы с возможностями компьютерно–технической экспертизы. Вследствие чего некоторые сведения, которые могли быть получены путем применения специальных познаний, а те, в свою очередь, могли бы повлиять на успешное расследование уголовных дел или, наоборот, исключить ложные версии, ими упускаются из внимания.

1. В статье рассматриваются лишь средства компьютерной техники, работающие под управлением операционной системы Windows, которую использую около 99% пользователей.

2. Casey E. Error, Uncertainty, and Loss in Digital Evidence // International Journal of Digital Evidence, 2002, Volume 1, Issue 4 [Электронный ресурс]. Режим доступа: http://www.ijde.org/archives_home.html — Загл. с экрана.