Проверка «Цифрового алиби»

Салмина Анжелика Борисовна,
Удмуртский государственный университет, г. Ижевск

В последнее время подозреваемые (обвиняемые) в обоснование заявляемого ими алиби всё чаще ссылаются на то, что в момент совершения преступления они работали на персональном компьютере, находившемся в другом месте. За рубежом такие объяснения получили название – «цифровое алиби» (digital alibi), ибо источником формирования доказательств выступает информация, записанная в цифровой форме на машинных носителях [5].

Его специфика заключается в том, что доказательственная информация, подтверждающая либо опровергающая «цифровое алиби», является крайне неустойчивой, т.к. может быть легко изменена или уничтожена [6].

Техническая проверка такого алиби является весьма трудной задачей, поскольку достаточно просто отследить владельца цифрового устройства, однако сложно доказать какой конкретно человек использовал это устройство в конкретный момент времени [5].

Этот вопрос может разрешить правильно проведённый допрос лица, заявившего о наличии у него «цифрового алиби», а также компьютерно-техническая экспертиза, поскольку персональные компьютеры создают и непрерывно ведут журналы действий пользователей, сохраняя адреса веб-сайтов, которые просматривал пользователь, какие документы или изображения были загружены или отредактированы, какие использовались приложения [3].

В операционной системе семейства Windows существует специальная возможность для фиксации действий, производимых на данном компьютере – аудит. Вся информация о событиях, происходящих в системе, заносится в журнал событий (безопасности) операционной системы. Это могут быть данные о типе выполненного действия, пользователе, выполнившем его, а также о дате и моменте времени выполнения данного действия [3].

Например, журнал «Приложения»: в нём отражаются различные сведения, предупреждения и ошибки связанные с работой приложений. В журнал «Безопасность» заносится информация о входе и выходе из системы, об управлении учётными записями.  Благодаря этому журналу можно отслеживать попытки взлома и подбора паролей.

Некоторые приложения и службы ведут свой отдельный журнал. Так, например, Microsoft Office записывает, какая программа осуществляла работу, и какие оповещения делались во время работы (например, спрашивал, сохранить ли тот или иной файл; при печати документа предупреждал, что поля выходят за границы области печати и так далее).

В системной папке Recent можно обнаружить ярлыки, которые дают информацию о том, с какими файлами и программами работал пользователь, и временные характеристики доступа или обращения к ним [2]. А в папке Prefetch посмотреть какими приложениями и в какое время пользовались.

Фальсификация виртуальных следов работы возможна путем:

1. Использования планировщика событий, с помощью которого можно запрограммировать компьютер для выполнения такого действия, как отправка сообщения электронной почты или запуск программы в определенное время.
2. Использования макросов. Макрос – это команда, содержащая последовательность действий, записанных пользователем. Она была создана для упрощения работы и избавлению от постоянного выполнения одних и тех же действий. Например, команды копировать - вставить, выполняемые горячими клавишами ctrl+c – ctrl+v. Но можно записать сложный макрос для создания видимости работы за компьютером. Прописать программу, в которой будет установлено совершение определённых действий в конкретное время. 
3. Изменения времени и даты путём:
   • перевода часов назад;
   • остановки часов;
   • перевода часов вперед [4].

4. Изменения атрибутов файлов, которые отражают даты и время создания файла, последнего изменения файла, последнего доступа к файлу, последнего изменения сведений в файловой системе и прочее, с помощью специальных программ (например, NewFileTime).

Поэтому для установления достоверности «временных следов» цифровой информации, представляющей криминалистический интерес, необходимы глубокие знания в области операционных и файловых систем аппаратно-программных комплексов, а также использование специальных средств и методов компьютерного анализа. Примером такого средства компьютерного анализа является программный комплекс The Sleuth Kit  (TSK) [4].

Это набор программ для проведения криминалистического анализа файловых систем. С её помощью можно идентифицировать и восстановить удалённые данные, как на самом компьютере, так и на флешках, и на дисках; составить график активности пользователя, узнать все подробности связанные с атрибутами файлов.

Таким образом, возможность установления фальсификации обоснована положением о том, что, уничтожая, добавляя или модифицируя виртуальные следы работы с компьютером, пользователь порождает другие следы – соответственно следы уничтожения, добавления или модификации информации [6].

Подобные изменения раскрываются в ходе проведения компьютерно-технической экспертизы.

Список литературы

1. Баев О. Я. Предвосхищающая проверка возможных версий стороны защиты по уголовным делам о «контактных» преступлениях (на примере проверки алиби) // Криминалистические чтения на Байкале - 2015: материалы Междунар. науч.-практ. конф. / Вост.-Сиб. фил ФГБОУВО «РГУП»; отв. Ред. Д. А. Степаненко. - Иркутск, 2015. - С. 26-30
2. Иванов Н.А. Применение специальных познаний при проверке "цифрового алиби" // "Информационное право", 2006, № 4 // КонсультантПлюс: справ. правовая система
3. Краснова Л. Б. Использование особенностей информационных технологий для установления и проверки алиби // Воронежские криминалистические чтения: сб. науч. трудов. – Вып. 16 / под ред. О. Я. Баева. – Воронеж: Издательский дом ВГУ, 2014.  - С. 104-111
4. Першин А.Н. «Временные следы» при расследовании преступлений, совершаемых с использованием компьютерных технологий // Преступность в сфере информационных и телекоммуникационных технологий: проблемы предупреждения, раскрытия и расследования преступлений - Воронеж: Изд-во Воронеж. института МВД РФ , 2016, № 1. - С. 46-51
5. Платёнкин А.В. Особенности использования электронных доказательств при проведении допроса подозреваемого // International scientific and practical conference world science. - 2016. - № 5. - С. 9-11.
6. Пономарев И.П. Цифровое алиби и его проверка // Вестник Воронежского государственного университета. - Воронеж: Изд-во Воронеж. Ун-та, 2011, № 2 (11). - С. 437-444