CC BY
21
Д. А. Тарасов,
МГТУ имени Н.Э. Баумана
РЕЗУЛЬТАТ ЭКСПЕРТИЗЫ КАК ОСНОВАНИЕ ДЛЯ СОЕДИНЕНИЯ УГОЛОВНЫХ ДЕЛ ПО ПРЕСТУПЛЕНИЯМ, СВЯЗАННЫМ С ИНФОРМАЦИОННЫМИ ТЕХНОЛОГИЯМИ
THE RESULT OF EXAMINATION AS THE BASIS FOR CONNECTION OF CRIMINAL CASES FOR CRIMES, INFORMATION TECHNOLOGY
В статье на основе анализа уголовно-процессуальных норм и возможностей судебной компьютерной экспертизы исследуются основания для соединения уголовных дел по преступлениям, связанным с информационными технологиями.
In the article on the basis of the analysis of criminal procedural norms and possibilities of judicial computer expertise the grounds for connection of criminal cases on the crimes connected with information technologies are investigated.
Ежегодно в нашей стране совершаются тысячи компьютерных преступлений, а также преступлений, связанных с информационными технологиями. По информации МВД России, за январь — декабрь 2018 года зарегистрировано 174 674 преступлений, совершенных с использованием компьютерных и телекоммуникационных технологий, и раскрыто 43 362 преступлений данной категории, находившихся в производстве [1]. С учётом известной латентности киберпреступно-сти следует признать, что цифры впечатляющие, несмотря на то, что открытая статистика умалчивает о том, сколько же преступлений из указанного количества являются «чисто компьютерными». Тем не менее, принимая во внимание реалии современного мира, пронизанного компьютерными технологиями, можно с уверенностью предположить, что и их число значительно.
Закономерно в этой связи задаться следующими вопросами. Как много компьютерных
преступлений совершается абсолютно разными и никак не связанными между собой лицами? Не остается ли часть компьютерных преступлений нераскрытыми и нерасследованными по причине невозможности (или нежелания) установить связь одного с другим? Могут ли быть установлены достаточные основания для соединения возбужденных уголовных дел по компьютерным преступлениям?
В части 1 статьи 153 УПК РФ указано, что в одном производстве могут быть соединены уголовные дела в отношении нескольких лиц, совершивших одно или несколько преступлений в соучастии; одного лица, совершившего несколько преступлений; лица, обвиняемого в заранее не обещанном укрывательстве преступлений, расследуемых по этим уголовным делам.
Часть 2 той же статьи гласит, что соединение уголовных дел допускается также в случаях, когда лицо, подлежащее привлечению в ка-
честве обвиняемого, не установлено, но имеются достаточные основания полагать, что несколько преступлений совершены одним лицом или группой лиц [2].
Однако, как указывает Н. Р. Нафикова, неурегулированными остаются именно вопросы достаточности оснований в связи с тем, что лицо, расследующее преступление, базируется на собственном субъективном понимании достаточности таких доказательств. Причем нередко ситуация осложняется тем, что, как показывает анализ практики, решения о соединении уголовных дел принимаются в основном при наличии прямых данных, указывающих на совершение нескольких преступлений одним субъектом. А такими данными являются, как правило, показания обвиняемых, подозреваемых, свидетелей, результаты экспертиз [3].
В целом соглашаясь с этим, нужно отметить, что в случае совершения компьютерных преступлений зачастую неоткуда взяться показаниям свидетелей и потерпевших, а уж тем более, подозреваемых и обвиняемых, поскольку специфика образования следовой картины компьютерного преступления обуславливает тот факт, что об обстоятельствах его совершения становится известно только после проведения экспертизы или исследования. А нередко и на всём протяжении процесса расследования таких преступлений, по крайней мере, до момента установления круга подозреваемых лиц, следствие опирается исключительно на информацию, полученную в ходе расследования специалистами компьютерных инцидентов и исследования информации с компьютерных носителей.
Таким образом, можно с уверенностью констатировать, что наиболее весомым по сравнению с другими основанием для соединения уголовных дел при расследовании компьютерных преступлений будут являться результаты компьютерно -технической экспертизы.
Вместе с тем следует понимать, что далеко не всегда результаты компьютерной экспертизы настолько информативны, что, например, вопрос о совершении нескольких аналогичных компьютерных преступлений одним лицом (группой лиц) не вызывает сомнений. Следовательно, необходимо чётко определить, какие же именно элементы объективной стороны (способ, средства совершения) компьютерного преступления должны быть установлены в ходе экспертизы, чтобы они могли явиться основанием для соединения уголовных дел.
Представляется целесообразным идти «от практики к теории», то есть на основе конкретных результатов экспертного исследования пы-
таться вывести хотя бы примерный перечень значимых элементов, которые впоследствии могут быть использованы в качестве основы для соединения уголовных дел.
Примером могут служить результаты исследования, проведенного Лабораторией Касперско-го. Так, в конце января 2018 года эксперты лаборатории обнаружили очередную угрозу — троянскую программу Mezzo, способную подменять реквизиты в файлах обмена между бухгалтерскими программами и банковскими системами. Сообщается, что анализ кода Mezzo показал, что данная программа может быть связана с другой известной программой-троянцем, охотящейся за криптовалютами, — CryptoShuffler. Эксперты Лаборатории Касперского обнаружили, что код программы Mezzo и программы AlinaBot, осуществляющей загрузку
CryptoShuffler, практически идентичны, что даёт основание предположить возможность единого источника их происхождения [4]. В данном примере мы видим конкретное средство совершения преступления, ранее уже встречавшееся экспертам, — программные коды, сходные вплоть до идентичности.
Как известно, статья 273 УК РФ предусматривает ответственность за создание и распространение вредоносных программ, в том числе и группой лиц по предварительному сговору, следовательно, при установлении в ходе экспертизы идентичности исследуемого программного кода и ранее исследованного по другому делу кода вредоносной программы эксперт вправе сообщить об этом лицу, назначившему экспертизу, тем самым формируя основу для возможного соединения уголовных дел в дальнейшем.
Таким образом, значимым для решения вопроса о соединении уголовных дел по делам, связанным с информационными технологиями, основанием может являться средство (орудие) совершения преступления.
Следует отметить, что способ, как более общее по отношению к средству понятие, таким основанием выступать не может, так как, как правило, не указывает на конкретное лицо — например, совершение преступления способом удаленного доступа с использованием уязвимостей компьютерной системы характерно для подавляющего большинства компьютерных преступлений.
Могут ли другие установленные в ходе экспертизы факты и обстоятельства явиться основанием для соединения уголовных дел?
Попробуем порассуждать на этот счёт. В работах многих ученых, занимающихся проблемами компьютерной криминалистики, противодействия компьютерной преступности, таких как
В. Б. Вехов [5], В. А. Мещеряков, Е. Р. Россин-ская, А. И. Усов [6], Н. Г. Шурухнов и другие, указывается примерно одинаковый перечень элементов криминалистической характеристики преступлений, связанных с информационными технологиями, а именно:
1) способы совершения преступлений;
2) следовая картина преступления;
3) личность преступника, мотивы и цель;
4) некоторые обстоятельства совершения преступления (место, время, обстановка).
Очевидно, что при производстве экспертизы могут быть установлены 1-й, 2-й и 4-й из вышеперечисленных элементов.
Об элементе 1 — способе и средстве совершения преступления — нами было сказано выше.
Элемент 2 — следовая картина — может включать в себя достаточно большой объём информации, однако чаще всего используется либо для «привязки» злоумышленника к событию преступления, либо для установления других обстоятельств преступления, поэтому как самостоятельное основание для решения вопроса для соединения уголовных дел, на наш взгляд, выступать не может.
Элемент 4 — место, время, обстановка совершения преступления. Возможно ли установление в ходе экспертизы места совершения компьютерного преступления, откуда, например, один и тот же хакер совершает ВВо8-атаки? В принципе, такая ситуация возможна в том случае, если в данную версию укладываются и другие установленные в ходе следствия обстоятельства, а именно: время совершения, диапазон 1Р-адресов, с которого осуществлялось управление бот-сетью, способ связи злоумышленника с жертвой атаки и др. Безусловно, установление этих обстоятельств требует кропотливой, объемной работы и далеко не всегда увенчивается успехом. Тем не менее место и время совершения преступления в их совокупности со счетов сбрасывать нельзя.
Проанализируем ситуацию на ещё одном конкретном примере — хищении денежных средств частных лиц и организаций путём осуществления банковского перевода с подменой платёжных реквизитов. Такие факты систематически происходят практически с момента появления систем дистанционного банковского обслуживания (ДБО) и периодически озвучиваются на тематических банковских форумах, в 1Т-сообществе и СМИ. Фабула дела заключается, с незначительными вариациями, в следующем.
В бухгалтерской программе (например, 1С) клиентом банка формируется платежное поручение с правильными, неоднократно проверенными реквизитами, после чего загружается в систему
ДБО (например, «Сбербанк Бизнес Онлайн»). В данной системе платежное поручение подтверждается одноразовым паролем, присылаемым системой на привязанный к аккаунту телефон, после чего выводится сообщение о том, что платёж принят банком к исполнению. Непосредственно по итогам платежа или через некоторое время клиент обнаруживает, что перевод был проведён по совершенно другим реквизитам, которые не принадлежат ни одному из контрагентов организации. При этом какие-либо отдельные реквизиты или цифровые значения были не просто введены с ошибками, а подменены полностью. В результате ряда исследований, в том числе и проведённых специалистами Лаборатории Кас-перского, примерно с 2010 года фиксируются вспышки распространения различных модификаций троянской программы Trojan.PWS.Ibank, которая использует уязвимости интернет-браузеров и программ ДБО. В результате, когда пользователь вводит логин и (или) пароль на зараженном компьютере, эти данные отправляются не в банк, а злоумышленникам.
Оставив за скобками особенности реакции на данные инциденты служб безопасности банков, обратим внимание на криминалистическую сторону вопроса в соответствии с вышеобозначен-ными элементами характеристики преступления. Итак, в данном случае интерес представляют способ совершения преступления, место и способ получения похищенных денежных средств, данные владельца платёжных реквизитов.
Что касается последнего, то данные обстоятельства подлежат установлению следственным путём, но относительно способа совершения очевидно, что в случае обнаружения на заражённом компьютере в ходе экспертного исследования троянца и вредоносного кода есть возможность установить способ связи программы с управляющим ею злоумышленником.
Также необходимо отметить, что сказанное не означает лишь гипотетической возможности установления таких сведений — в настоящее время соответствующие экспертные подразделения системы МВД, а также ряд известных частных компаний, специализирующихся на информационной безопасности и расследовании компьютерных инцидентов, имеют в своём штате специалистов, способных успешно решать подобные задачи. Но необходимо понимать, что такие задачи достаточно сложны, поскольку сложна и программная архитектура вредоносных программ. Например, адрес управляющего сервера троянец, как правило, вычисляет динамически по специальному алгоритму, перехват данных осуществляет анализатор трафика, в про-
грамму включены модули мониторинга сетевой активности и сбора ключевой информации для различных систем ДБО, полученная информация направляется на принадлежащий злоумышленникам сервер. Вместе с тем, при всей сложности вопроса, качественное проведение экспертизы позволяет установить достаточно сведений, могущих свидетельствовать о том, что ряд эпизодов преступной деятельности могли быть совершены одним и тем же лицом или группой лиц.
Однако при всех современных возможностях экспертизы существует проблема сопоставления выявленных элементов криминалистической характеристики разных преступлений одной направленности [7]. Суть проблемы заключается в том, что места совершения аналогичных компьютерных преступлений, а равно и обнаружения их последствий, могут быть (и даже как правило) не ограничены рамками одного города и даже страны. Безусловно, подобные ситуации возникают и при расследовании преступлений общеуголовной направленности (против личности, собственности и др.), однако в таких случаях свою положительную роль в установлении лиц, причастных к их совершению, зачастую играют региональные и федеральные криминалистические учёты. Учётов же или баз данных, аккумулирующих выявленную в ходе производства экспертиз информацию об обстоятельствах совершения
компьютерных преступлений, пока не существует. Поэтому можно с уверенностью полагать, что в большинстве случаев (за исключением крупносерийных и резонансных) ни следственные органы, ни, тем более, экспертные подразделения не имеют материала для сравнительного анализа при расследовании и производстве экспертизы.
Поэтому, помимо самого факта установления в ходе расследования значимых элементов криминалистической характеристики компьютерных преступлений, безусловно, необходима система их учёта, упорядоченного по признакам, выявленным именно в ходе экспертиз и исследований, и доступного для анализа не только по завершению, но и по ходу расследования преступлений.
Таким образом, можно констатировать, что при квалифицированном подходе к назначению и производству экспертиз и исследований компьютерной направленности вполне могут быть установлены способ, средство, место и время совершения компьютерного преступления, которые, как значимые элементы криминалистической характеристики, могут указывать на совершение таких деяний одним лицом, что является основанием для соединения уголовных дел в единое производство. Вместе с тем вопросы учёта и анализа элементов таких преступлений требуют дальнейшей разработки.
ЛИТЕРАТУРА
1. Состояние преступности в Российской Федерации за январь — декабрь 2018 года / Статистика МВД России // ШЪ: https://media.mvd.ru/files/ap-рИсайоп/1518099.
2. Уголовно-процессуальный кодекс Российской Федерации // СПС «КонсультантПлюс».
3. Нафикова Н. Р. Криминалистический анализ теоретических основ соединения уголовных дел // Вестник Удмуртского университета. Серия : Экономика и право. — 2010. — № 2-3.
4. Новости Лаборатории Касперского // иКЬ : https://www.kaspersky.-ru/about/press-releases/2018_kaspersky-lab-has-found-a-new-trojan-hunted-for-real-and-crypto-currencies.
5. Вехов В. Б. Компьютерные преступления: способы совершения, методики расследования. — М. : Право и закон, 1996.
6. Усов А. И. Применение специальных познаний при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств // URL : http://jurfak.spb.ru/-conference/1810200/-usov.htm.
7. Ретюнских И. А. Современные проблемы соединения и выделения уголовных дел // Актуальные проблемы борьбы с преступлениями и иными правонарушениями. — 2017. — № 15-1.
REFERENCES
1. Sostoyanie prestupnosti v Rossiyskoy Feder-atsii za yanvar — dekabr 2018 goda / Statistika MVD Rossii // URL : https://media.mvd.ru/files/-application/1518099.
2. Ugolovno-protsessualnyiy kodeks Rossiyskoy Federatsii // SPS «KonsultantPlyus».
3. Nafikova N. R. Kriminalisticheskiy analiz te-oreticheskih osnov soedineniya ugolovnyih del // Vestnik Udmurtskogo universiteta. Seriya : Ekonomika i pravo. — 2010. — # 2-3.
4. Novosti Laboratorii Kasperskogo // URL : https://www.kaspersky.-ru/about/press-
releases/2018_kaspersky-lab-has-found-a-new-trojan-hunted-for-real-and-crypto-currencies.
5. Vehov V. B. Kompyuternyie prestupleniya: sposobyi soversheniya, metodiki rassledovaniya. — M. : Pravo i zakon, 1996.
6. Usov A. I. Primenenie spetsialnyih poznaniy pri raskryitii i rassledovanii prestupleniy, soprya-
zhennyih s ispolzovaniem kompyuternyih sredstv // URL : http://jurfak.spb.ru/conference/1810200/-usov.htm.
7. Retyunskih I. A. Sovremennyie problemyi soedineniya i vyideleniya ugolovnyih del // Aktual-nyie problemyi borbyi s prestupleniyami i inyimi pravonarusheniyami. — 2017. — # 15-1.
СВЕДЕНИЯ ОБ АВТОРЕ
Дмитрий Александрович Тарасов. Старший преподаватель кафедры «Юриспруденция, интеллектуальная собственность и судебная экспертиза». МГТУ имени Н.Э. Баумана. E-mail: [email protected]
Россия, 105005, г. Москва, 2-я Бауманская ул., д. 5, стр. 1. Tea 8 (916) 252-91-77.
Dmitriy Alexandrovich Tarasov. Senior lecturer of the chair of Law, Intellectual Property and Judicial Expertise.
MSTU named after N.E. Bauman. E-mail: [email protected]
Work address: Russia, 105005, Moscow, 2nd Baumanskaya Str., 5, bld. 1. Tel. 8(916) 252-91-77.
Ключевые слова: соединение уголовных дел; компьютерная экспертиза; криминалистическая характеристика преступлений; судебная экспертиза; информационные технологии.
Key words: coupling criminal cases; computer forensics; forensic characterization of crimes; forensics; information technology.
ИЗДАНИЯ ВОРОНЕЖСКОГО ИНСТИТУТА МВД РОССИИ
Леженин А.В.
Процессуальные правоотношения в различных видах деятельности органов внутренних дел: теория и законодательство: монография / А.В. Леженин, М.В. Скрынникова. - Воронеж: Воронежский институт МВД России, 2018. - 73 с.
В монографии рассмотрены общетеоретические и отраслевые доктрины процессуальных отношений, особенности возникновения и реализации процессуальных правоотношений в административной, уголовно-процессуальной и оперативно-розыскной деятельности. Для курсантов, студентов и слушателей юридических факультетов образовательных учреждений высшего образования МВД России, научных работников, сотрудников органов внутренних дел.
