УДК 343.9
Страницы в журнале: 135-141
С.И. Земцова,
преподаватель кафедры криминалистики Сибирского юридического института ФСКН России, подполковник полиции Россия, Красноярск Zemsvetlana@mail.ru
Раскрывается роль специалиста при осмотре сотового телефона по уголовным делам, связанным с незаконным оборотом «дизайнерских» наркотиков. Отмечается, что его знания наиболее востребованы на рабочем этапе следственного действия и реализуются путем оказания содействия в описании аппаратного и программного обеспечения; применения программно-аппаратных комплексов (UFED, «Мобильный криминалист», ХRY, МОВILedit) для извлечения криминалистически значимой информации. Обосновывается вывод о том, что внедрение данных предложений позволит получить необходимые сведения на первоначальном этапе расследования, без производства компьютерно-технической экспертизы.
Ключевые слова: наркотические средства, психоактивные вещества, Интернет, специалист, следственный осмотр, компьютерно-техническая экспертиза, сотовый телефон.
Начало ХХI века характеризуется высокими темпами развития информационно-телекоммуникационных технологий. Средства сотовых систем подвижной (мобильной) связи стандарта GSM 900/1800 МГц приобрели очень большую популярность по всему миру. Сегодня в России насчитывается более 238 млн абонентов[1].
У пользователей средств мобильной связи наиболее востребованы телефоны, смартфоны и карманные персональные компьютеры (далее — сотовые телефоны). Они предоставляют широкие возможности для обмена информацией, выхода в Интернет или передачи сообщений. Однако в последние годы сотовый телефон все чаще выступает средством совершения преступлений, в том числе в сфере незаконного оборота синтетических психоактивных веществ[2] (стимуляторов амфетаминового ряда, синтетических анальгетиков, синтетических каннабиноидов группы JWH и др.)[3].
Это в свою очередь предполагает, что следователи (дознаватели) должны в совершенстве владеть тактикой осмотра данного объекта, поскольку значимость информации, которая может быть при этом получена, сложно переоценить. В процессе производства данного следственного действия могут быть обнаружены как материальные следы (следы пальцев рук, микрообъекты и т. д.), так и виртуальные (следы посещения сайтов с рекламой наркотиков, архив переписки пользователя, управления счетами электронных платежных систем, геолокациии т. д.), способствующие формированию полноценной доказательственной базы и изобличающие не только его пользователя, но и иных лиц, причастных к совершению преступления,— курьера, менеджера, кассира, организатора преступной группы [3].
Например, при производстве обыска в феврале 2015 года по факту сбыта синтетических наркотических средств через сеть интернет-магазинов Siblabs, функционировавших в Барнауле, Бердске, Бийске, сотрудниками ФСКН России по Новосибирской области и Алтайскому краю, при координации 2 Департамента ФСКН России были изъяты 15 сотовых телефонов, SIM-карт, более 100 кг концентрированных синтетических наркотиков, а также автомобили BMW, Chevrolet Camaro и другие объекты. Задержан организатор группы и 12 ее активных членов [4]. Важнейшими источниками доказательств преступной деятельности выступили сведения, извлеченные из сотовых телефонов посредством их осмотра и производства компьютерно-технической экспертизы.
Указанный и множество других примеров судебно-следственной практики свидетельствуют о необходимости проведения теоретических исследований, направленных на разработку алгоритма действий при осмотре сотового телефона, и внедрения их в практическую деятельность. Вместе с тем анализ монографий, пособий, методических рекомендаций в области теории уголовного процесса и криминалистики свидетельствует, что имеются лишь единичные работы, посвященные данному вопросу [1; 2; 6; 8, c. 119—120; 9].
Исследований, освещающих специфику указанной деятельности по преступлениям, связанным с незаконным оборотом «дизайнерских» наркотиков, совершаемым с использованием интернет-магазинов, и отражающих при этом роль специалиста, до настоящего времени не производилось. В связи с этим появилась необходимость в устранении указанного пробела.
Однако чем же обусловлена сложность производства осмотра данного объекта? И какова специфика участия специалиста по рассматриваемой категории преступлений?
Ответом на первый вопрос являются сформулированные нами в процессе исследования две причины:
1) отсутствие знаний, необходимых для описания аппаратного и программного обеспечения сотового телефона, связанное с усложнением устройств (на базе операционных систем Android, iOS и WindowsPhone);
2) отсутствие навыков и умений по извлечению криминалистически значимой информации с использованием аппаратно-программных комплексов (UFED, «Мобильный криминалист», ХRY, МОВILedit).
Ответ на второй вопрос можно сформулировать только после детального освещения тактики осмотра сотового телефона на каждом из этапов — подготовительном, рабочем, заключительном.
Производство первого этапа (подготовительного), как правило, сложности не представляет и состоит в выполнении стандартного алгоритма действий, связанных с определением места, времени производства процессуального действия, приглашении специалистов: в области компьютерных и высоких технологий и специалиста-криминалиста, других участников, разъяснении им прав и обязанностей, предупреждении об ответственности.
Более сложным и трудоемким является рабочий этап, включающий две стадии — статическую и динамическую.
Сущность первой стадии (статической) заключается в установлении местоположения сотового телефона, в этом может оказать содействие следователю специалист-криминалист посредством измерения расстояния до двух неподвижных ориентиров, а также при необходимости оказания другой консультационной помощи; изучения внешнего вида сотового телефона.
Незаменимыми при выполнении данного элемента являются знания специалиста в области компьютерных и других современных технологий. Именно он сможет оказать помощь в выявлении как общих, так и частных признаков. К первым (общим) возможно отнести наименование предмета, марку телефона (как правило, напечатана на лицевой и обратной сторонах телефона), его размеры, цвет, конструкцию, внешний вид, материал, из которого изготовлен, модель, характеристику клавиатуры, фоновый рисунок, а также имя владельца на дисплее. К частным — наличие повреждений (царапин, потертостей, сколов на корпусе или дисплее), наклеек или украшений.
При этом следует отметить, что алгоритм действий специалиста в области компьютерных и высоких технологий и следователя при внешнем осмотре обусловлен состоянием телефона. Так, если на момент осмотра он выключен, то не рекомендуется его включать. Связано это с возможным наличием программы типа «антивор», которая способна удалить криминалистически значимую информацию и/или полностью заблокировать работу телефона.
Если телефон находится во включенном состоянии, то необходимо предпринять действия, направленные на сохранение заряда батареи (поскольку для повторного включения может потребоваться введение пин-кода и/или другого пароля, который не всегда известен сотрудникам правоохранительных органов). С этой целью (т. е. для энергосбережения), а также для сохранения имеющихся на нем данных от уничтожения (например, путем удаленного доступа) следователю и/или специалисту необходимо выбрать один из вариантов действий:
а) активировать режим «Полет». После данной операции в верхней части экрана слева от знака батареи появится значок в виде самолета, пропадут знаки антенны и передачи данных;
б) положить телефон в клетку Фарадея[4].
На этой же стадии (статической) следователем совместно со специалистом в отношении сотового телефона может быть принято одно из двух решений:
а) о необходимости назначения компьютерно-технической экспертизы;
б) о продолжении следственного действия с участием специалиста в области компьютерных и высоких технологий.
Принятие последнего решения обусловлено тем, что производство компьютерно-технической экспертизы в настоящее время в экспертно-криминалистических подразделениях правоохранительных органов занимает продолжительное время. Связано это, с одной стороны, с сокращением штатной численности сотрудников экспертно-криминалистических подразделений правоохранительных органов, а с другой стороны, с увеличением количества изымаемых и направляемых на исследований сотовых телефонов и других электронных носителей информации при производстве процессуальных действий и оперативно-розыскных мероприятий. Одним из вариантов выхода из сложившейся ситуации представляется полноценное производство динамической стадии рабочего этапа следственного осмотра с участием специалиста в области компьютерных и высоких технологий.
Комплекс действий, выполняемых на данной стадии (динамической), можно условно разделить на две части.
1. Осмотр аппаратного обеспечения. Это в свою очередь предполагает:
1) определение функциональных элементов — блока электрического питания, логического блока, радиоблока, блока пользовательского интерфейса [7].
К блоку электрического питания относятся аккумуляторная батарея телефона и электронная схема управления, отвечающая за обеспечение электрическим питанием остальных блоков телефона и зарядку аккумуляторной батареи.
К логическому блоку относятся микропроцессор телефона, микросхемы памяти и вспомогательные элементы, обеспечивающие их работу. Следует отметить, что в ряде мобильных телефонов (телефоны с двумя SIM-картами, смартфоны, коммуникаторы) логический блок и схема управления питанием присутствуют в двух экземплярах и отвечают либо каждый за «свою» SIM-карту, либо каждый за «свою» функцию (телефон и компьютер).
Радиоблок мобильного телефона представляет собой приемо-передатчик, обеспечивающий взаимодействие с оборудованием оператора системы связи и работающий согласно определенным стандартам. В общем случае телефон может иметь не один радиоблок (например, телефоны сетей 3G, имеющие приемо-передатчики стандартов GSM, WCDMA).
К блоку пользовательского интерфейса относятся все устройства, с которыми работает пoльзователь: дисплей, клавиатура, фото/видеокамера, интерфейсы связи (USB-порт, Wi-Fi, Bluetooth и др.);
2) установление IMEI (International Mobile Equipment Identity — международного идентификатора мобильного оборудования) — число (обычно 15-значное), уникальное для каждого использующегося аппарата. Применяется в сотовых телефонах сетей GSM, WCDMA, а также в некоторых спутниковых телефонах.
IMEI присваивается телефону во время изготовления на заводе. Он служит для идентификации устройства в сети и хранится в прошивке аппарата. Как правило, IMEI указывается в четырех местах: в самом аппарате (в большинстве случаев его можно вывести на экран набором *#06# на клавиатуре); под аккумуляторной батареей; на упаковке; в гарантийном талоне. Однако в некоторых телефонах (iPhone, HTC, GoogleNexus и др.) он может быть указан на задней крышке на прозрачной пленке или на металлической рамке-держателе SIM-карты.
IMEI играет роль серийного номера аппарата и передается в эфир при авторизации в сети. Для просмотра IMEI специалист и/или следователь могут воспользоваться следующим алгоритмом управления меню: «настройки» — «об аппарате» — «общая информация». Следует учитывать, что номера IMEI могут повторяться у так называемых серых телефонов. «Серые» телефоны можно поделить на контрафактные и подделки. Контрафактные производятся на официальных заводах, но ввозятся в Россию нелегально, а подделки производятся кустарным способом, хотя внешне очень похожи на оригиналы;
3) распознавание модели сотового телефона, серийного номера телефона, операционной системы, версии прошивки, телефонного номера SIM-карты, IP-адреса, MAC-адреса.
Наименование модели, как правило, указано под аккумуляторной батареей. Для просмотра модели телефона в ОС Android необходимо зайти «настройки» — «об аппарате» — «общая информация». В данном разделе может располагаться следующая криминалистически значимая информация: IMEI, модель телефона, серийный номер телефона, операционная система, версия прошивки, телефонный номер SIM-карты, IP-адрес, MAC-адрес.
2. Обнаружение и изъятие фактических данных программного обеспечения предполагает:
1) изучение списка контактов, размещенных в «телефонной книге», и журнала звонков.
В современных сотовых телефонах и смартфонах список контактов может храниться в памяти телефона, на SIM-карте, в облачном хранилище (на сайте), на карте памяти (в ОС Android — в виде файла с расширением vcf).
При их изучении специалист в области компьютерной техники может установить не только перечень абонентов, с которыми осуществлялось общение, но и выявить дополнительную информацию: фотографии контактов, адреса электронной почты, группы, почтовые адреса, псевдонимы, регистрацию контактов в интернет-мессенджерах, профили в социальных сетях и др.
Для быстрого создания копии списка контактов, например в ОС Android, специалист может подключить телефон к стационарному компьютеру и при необходимости инсталлировать предлагаемую телефоном программу синхронизации. После чего сохранить контакты на компьютере и распечатать на бумажный носитель, отразив данную операцию в протоколе. При этом возможно использовать файл блокировки USB-порта или блокиратор записи;
2) изучение СМС-сообщений.
С этой целью специалистом в области компьютерных и высоких технологий могут быть использованы два способа: сплошной и выборочный. Сплошной способ заключается в просмотре всех сообщений в телефоне. Выборочный — в использовании функции поиска или фильтра при большом количестве сообщений.
В результате этой деятельности может быть обнаружена информация, относящаяся к преступной деятельности (например, связанная с описанием мест, где осуществлялись закладки; способами оплаты за наркотические средства, кодами активации и восстановления паролей Интернет-сайтов и приложений и т. д.);
3) исследование данных браузера.
При осмотре могут быть выявлены один или несколько веб-браузеров (например, Google Chrome, Android Browser, Opera, Яндекс.Браузер), установленных на сотовом телефоне.
При этом специалист должен обратить внимание следователя на присутствие программ, обеспечивающих анонимность работы в Интернете (браузер Tor, I2P и др.), поскольку их наличие может свидетельствовать об умысле на сокрытие виртуальных следов преступной деятельности.
Кроме того, важную криминалистическую информацию можно получить при изучении истории просмотра веб-страниц и закладок в браузере. В частности, детальному анализу должны быть подвергнуты:
— социальные сети («ВКонтакте», «Facebook», «Одноклассники» и т. д.), а также форумы, посредством которых происходило общение.
Так, Управлением ФСКН России по Томской области в ходе проведения оперативно-розыскных мероприятий установлено, что одним из организаторов преступной группировки являлся 25-летний житель Томска, который вступил в преступный сговор с находящимся в Китайской Народной Республике гражданином, направленный на сбыт синтетических наркотических средств с использованием Интернет-сайта путем почтовых отправлений с территории Китая. Денежные средства, полученные от продажи наркотиков, переводились с использованием систем MoneyGram, PerfectMoney, криптовалюты Bitcoin, денежных переводов Western Union. С целью обналичивания денежных средств житель Томска связывался на форумах с так называемыми обменщиками, переводил деньги в криптовалюту Bitcoin, после чего встречался с ними и забирал деньги. При задержании у фигуранта было изъято более 3 млн руб. [4];
— информация с различных сайтов, которые посещал подозреваемый (обвиняемый), содержащая сведения об изготовлении наркотических средств (о химических реактивах, оборудовании, алгоритме действий и т. д.), рекламу наркотиков и способы продажи; раскрывающая способы противодействия в процессе уголовного и административного судопроизводства; детализирующая схемы легализации денег от наркодоходов и т. д.; описывающая возможности электронных платежных систем;
4) изучение приложений.
Анализ судебно-следственной практики свидетельствует, что в качестве таковых могут использоваться программы для общения через Интернет (WhatsApp, Viber, Brosix, Telegram и др.). Специалист в области компьютерных и высоких технологий при этом может оказать помощь следователю (дознавателю) по выявлению в них следующей криминалистически значимой информации:
— о контактах (о связях между оператором и закладчиками, между организатором преступной деятельности и менеджером по региону и т. д.);
— о переписке между субъектами преступной деятельности (о функциональных обязанностях членов преступной группы, методах конспирации, способах оплаты и т. д.).
При этом следует отметить, что в последнее время с целью повышения безопасности коммуникации преступниками осуществляется переход от ICQ, Jabber, Skype к приватному мессенджеру Telegram с более сложным алгоритмом шифрования. Использование Telegram обусловлено встроенной функцией «секретных чатов», которые обеспечивают полную анонимность пользователям, а также возможность прикреплять к сообщениям «таймер самоуничтожения» и очищать «историю сообщений» удаленно через другие устройства, стирая таким образом переписку. Популярность данного приложения обусловлена нахождением его серверов за пределами Российской Федерации, что повышает конспиративность. Технические возможности программы Telegram предъявляют дополнительные требования к алгоритму осмотра сотового телефона. В частности, для предотвращения уничтожения переписки целесообразно изменить настройки в чатах: закладка — Setself — destructtimer — с периода времени на off;
— о фотографиях, отражающих отдельные факты преступной деятельности (например, мест тайников и закладок; внешнего вида наркотического средства).
Так, по одному из уголовных дел по факту незаконного сбыта синтетических психоактивных веществ было установлено, что Т. и М., используя информационно-телекоммуникационные сети, получали заказы от потребителей наркотических средств, вели с ними переписку, в которой сообщали реквизиты банковской карты, после чего отслеживали поступление электронных платежей в качестве оплаты, и таким же путем в ходе переписки уведомляли о месте закладки наркотического средства, а также высылали фотографию точного места закладки[5];
— о видео-файлах (например, совместного времяпрепровождения участников преступной группы, или содержащих информацию о способах изготовления, упаковки наркотических средств);
— о данных местоположения и маршруте движения согласно GPS/ГЛОНАСС (например, курьера, закладчика во время осуществления преступной деятельности, с точностью до нескольких метров);
— о наименовании сетей Wi-Fi, к которым телефон ранее подключался, в том числе стационарных (мест пребывания курьера, закладчика и других участников).
3. Применение средств поиска файлов.
При производстве следственного действия следует иметь в виду, что файлы могут находиться как в памяти телефона, так и на картах памяти. В протоколе осмотра следователю (дознавателю) при консультационной помощи специалиста необходимо отразить их производителя, объем и серийный номер карты, при наличии переключателя защиты от записи (замка) — его положение. После этого нужно включить защиту от записи, чтобы исключить модификацию данных, хранящихся на карте.
В некоторых случаях сохраненные файлы могут быть недоступны для просмотра средствами операционной системы сотового телефона, поэтому целесообразно иметь переносной компьютер с USB-проводом, картридером и программами просмотра распространенных форматов файлов (doc, docx, pdf, djvu и т. д.), а также программами подбора паролей для различных типов файлов (например, Advanced Archive Password Recovery).
Контакты, СМС-сообщения и файлы в памяти телефона должны быть сохранены специалистом на внешних носителях с помощью соответствующего аппаратного и программного обеспечения. С этой целью может быть использована программа «Мобильный криминалист» или программно-аппаратный комплекс UFED. Достоинством последнего являются более широкие возможности использования, позволяющие производить полное извлечение таких данных, как телефонная книга, текстовые сообщения, фотографии, видеоизображения, журналы звонков (исходящих, входящих, пропущенных), звуковые файлы, идентификационные данные телефона и т. д.
Анализ судебно-следственной практики и законодательства позволяет утверждать, что для изучения информационного содержимого с использованием указанной криминалистической техники (UFED, «Мобильный криминалист», а также ХRY, МОВILedit) из средств мобильной связи получение судебного решения не требуется.
Последнее утверждение, несмотря на кажущуюся на первый взгляд спорность, основано на конкретном прецеденте — жалобе гражданина Тарасова Николая Алексеевича на нарушение его конституционных прав ч. 1 ст. 176 и ч. 1 ст. 285 Уголовно-процессуального кодекса РФ. По мнению заявителя, органы предварительного следствия без вынесения соответствующего судебного решения произвели осмотр мобильного телефона, изъятого у него при заключении под стражу (когда Н.А. Тарасов являлся подозреваемым в совершении преступления), а впоследствии при исследовании в судебном заседании протоколов следственных действий судом были оглашены сведения, содержащиеся в электронной памяти мобильного телефона, что привело к ограничению его прав на тайну телефонных переговоров, на неприкосновенность частной жизни и на судебную защиту, гарантированных статьями 23 (ч. 2), 24 (ч. 1) и 46 (ч. 1) Конституции РФ. На данную жалобу Конституционный Суд РФ ответил отказом, так как не усмотрел нарушений конституционных прав [5].
4. Исследование средств синхронизации данных.
Важная для расследования информация может сохраниться в Интернете на специальных ресурсах, реализующих синхронизацию файлов[6] (Dropbox, SkyDrive, ЯндексДиск), даже если подозреваемый удалил ее. В некоторых случаях синхронизация происходит без команды пользователя при подключении телефона к компьютеру.
Поэтому при осмотре сотового телефона необходимо обратить внимание на наличие упомянутых программ (Dropbox, SkyDrive и др.). Если они будут обнаружены, то специалист в области компьютерных технологий должен выяснить учетные данные пользователя и посетить сайты данных систем, чтобы найти криминалистически значимую информацию.
На заключительном этапе следственного осмотра специалист-криминалист и/или специалист в области компьютерных и высоких технологий могут оказать содействие следователю в упаковке осмотренного объекта. После чего должно быть принято процессуальное решение о приобщении сотового телефона в качестве вещественного доказательства и определении места хранения.
Полагаем, что внедрение сформулированного алгоритма в практическую деятельность позволит получить важную криминалистически значимую информацию при расследовании преступлений, связанных с незаконным оборотом синтетических психоактивных веществ, на первоначальном этапе расследования, в том числе и без производства компьютерно-технической экспертизы.
Список литературы
1. Архипова Н.А. Организационно-тактические аспекты раскрытия и расследования преступлений в ситуациях использования средств мобильной связи: автореф. дис. … канд. юрид. наук. СПб., 2011.
2. Васюков В.Ф., Булыжкин А.В. Некоторые особенности осмотра средств сотовой связи при расследовании уголовных дел // Российский следователь. 2014. № 2.
3. Земцова С.И. О некоторых элементах криминалистической характеристики сбыта наркотических средств, психотропных веществ и их аналогов, совершаемого с использованием электронных или информационно-телекоммуникационных сетей (включая сеть Интернет) // Библиотека криминалиста. Научный журнал. 2015. № 1.
4. Информационные материалы о противодействии распространению синтетических наркотиков на территории Сибирского федерального округа в 1 полугодии 2015 года.
5. Об отказе в принятии к рассмотрению жалобы гражданина Тарасова Николая Алексеевича на нарушение его конституционных прав частью первой статьи 176 и частью первой статьи 285 Уголовно-процессуального кодекса Российской Федерации: определение Конституционного Суда РФ от 08.04.2010 № 433-О-О // Доступ из СПС «КонсультантПлюс».
6. Скобелкин С.Ю. Использование специальных знаний при работе с электронными следами // Российский следователь. 2014. № 20.
7. Тушканова О.В. Типовая методика исследования информации в мобильных телефонах / О.В. Тушканова, В.М. Щербак, С.Н. Синицын, С.В. Ермолов. М., 2013.
8. Чистова Л.Е. Расследование контрабанды наркотических средств, психотропных, сильнодействующих, ядовитых веществ, а также растений, содержащих наркотические средства или психотропные вещества: моногр. М.: Юрлитинформ, 2015. С. 119—120.
9. Ярцева А.В. Использование в доказывании информации, передаваемой по техническим каналам связи: правовые и тактико-криминалистические аспекты: автореф. дис. … канд. юрид. наук. Ростов н/Д., 2012.
10. URL: http://www.interfax.ru/business/ 448098 (дата обращения: 09.10.2015).
Библиография
1 Число мобильных абонентов в Российской Федерации за январь—март 2015 года снизилось почти на 2 млн [10].
2 За 3 года только Федеральная служба по контролю за оборотом наркотиков поставила под контроль 700 новых видов наркотиков.
3 Если в 2012 году их удельный вес в общей массе изъятых всеми правоохранительными органами страны наркотических средств составлял немногим более 3%, то в 2013 году данный показатель превысил 5%, в 2014 году достиг 13%, а по итогам первого полугодия 2015 года составил 17,6%.
4 Клетка Фарадея — устройство для экранирования аппаратуры от внешних электромагнитных полей. Представляет собой замкнутую оболочку с проемами, выполненную из электропроводящего материал. В следственной практике иногда именуется пакетом или сумкой Фарадея.
5 Уголовное дело № 12850164 в отношении Т., обвиняемого в совершении преступлений, предусмотренных ч. 2 ст. 228; ч. 1 ст. 30, п. «а», «г» ч. 3 ст. 228.1; ч. 1 ст. 228 Уголовного кодекса РФ, расследованное Региональным управлением ФСКН России по Архангельской области, направленное прокурору 4 октября 2012 г.
6 Синхронизация файлов с сервером — способ организации хранения файлов, при котором на компьютере или сотовом телефоне пользователя создается специальная папка, все содержимое которой сохраняется на сервере в Интернете. Это позволяет получать доступ к информации с любого компьютера, имеющего доступ в Интернет, а также восстанавливать информацию на компьютере, если она была удалена по ошибке или в результате сбоя.