Russian Federation
Russian Federation
This scientific article is devoted to the study of problematic issues related to the use of means of retrieving information from the memory of electronic storage media during operational investigative activities. In the modern information society, mobile devices are becoming an integral part of people's lives, containing a huge amount of personal information. This information can be extremely useful for law enforcement agencies when conducting operational search activities and investigative actions. The article examines in detail various methods and means of extracting information from mobile devices, including software and hardware used in the process of processing information in order to obtain evidence. The authors of the article analyze existing approaches to information extraction, refer to current scientific research and offer their own recommendations for the use of these tools as part of operational investigative activities. Key aspects covered in the article include the selection of appropriate information extraction tools, legal considerations for using these tools, data processing and protection techniques, and privacy considerations.
operational search activities, electronic media, information and analytical support, information and telecommunication technologies, the Internet, digital traces of crime.
В настоящее время сотовые телефоны стали неотъемлемыми атрибутами современного общества и практически каждый человек имеет смартфон, а в ряде случаев и несколько. В свою очередь активное распространение радиоподвижной связи, сети Интернет оказали существенное влияние на деятельность правоохранительных органов [1, с.49]. В этой связи, развитие общества осуществляется в условиях всеобщей цифровизации, и для сохранения конкурентоспособности на мировой арене оно должно обеспечивать основные потребности государства. Цифровые технологии стали широко использоваться делинквентами, в качестве эффективного, удобного, относительно безопасного и малозатратного для них средства и способа совершения деяний, уголовно наказуемых в большинстве стран мира [2, с.209].
При решении задач оперативно-розыскной деятельности (далее – ОРД) оперативному сотруднику органов внутренних дел (далее – ОВД) приходится сталкиваться с необходимостью различного рода действий с цифровой информацией, так как новейшие технологии заметно расширили источники добывания оперативно значимой информацией, в том числе посредством извлечения важной электронной информации из памяти мобильных устройств [3, с. 110]. Поэтому сейчас основную проблему как в организационном, тактическом, техническом, так и правовом аспектах можно отнести проблему деанонимизации личности пользователя ресурсов сети Интернет, особенно в теневом его сегменте – сети DARKNET [4, с. 171].
Многочисленные исследования показывают, что определяющее влияние на эффективность деятельности органов внутренних дел, оказывает знания, умения и навыки сотрудников ОВД по добыванию оперативно значимой информации, особенно содержащейся на платформе сети Интернет, а также передающейся по каналам связи [5, с.112].
При этом на практике возникают различные проблемы, связанные не только с правовыми аспектами изъятия цифровой информации из средств связи и других носителей электронной информации, но и с недостаточным уровнем знаний практических сотрудников о специфике организации и тактике проведения оперативно-розыскных мероприятий (далее – ОРМ) и следственных действий.
В этом случае следует согласиться с мнением Е.А. Малыхиной о том, что «Борьба с преступностью играет важную роль в формировании и поддержании устойчивого правового государства. Соблюдение должного уровня правопорядка и законности – одна из приоритетных задач современного общества…» [6, с. 188].
Следует так же согласиться с мнением И.Н. Железняка, который справедливо замечает, что «Законодатель же в своем нормотворчестве априори выступает в роли догоняющего, зачастую так и не сумев разобраться в процессах, выступающих катализаторами возникновения тех или иных событий, механизмах молниеносной экстраполяции существующих паттернов в обществе или, что более близко нам в исследовании, в вопросах оптимизации правил противодействия преступности…» [7, с. 67].
Верной, по нашему мнению, также является позиция О.П. Грибунова о том, что «Специфика рассматриваемых преступлений, предопределяет некоторые особые условия, необходимые для успешного осуществления хода предварительного следствия» [8, с. 321].
Анализ практики деятельности оперативных подразделений органов внутренних дел (далее – ОВД) показывает, что оперативно значимая информация, добытая указанным способом, в ряде случаев выступает единственным средством раскрытия преступления, установления истины при расследовании уголовных дел и носит поистине неоценимое ориентирующее значение при решении различных задач ОРД.
Технические особенности сотовой связи, сети Интернет, средств обеспечения связи объективно генерируют и хранят большой массив информации, представляющей оперативно-розыскной интерес. К такой информации следует отнести:
– установочные данные пользователя;
– круг его общения;
– интересы;
– режим дня;
– медиа данные;
– маршруты передвижения и др.
В связи с этим сотовый телефон в настоящее время предстает неким объектом оперативной заинтересованности, представляя собой источник информации, который необходим при решении задач ОРД.
С точки зрения теории ОРД информация, содержащаяся в смартфонах
и планшетах, принадлежащих к объектам оперативной заинтересованности, безусловно, подлежит извлечению и анализу. Поэтому сотрудниками оперативных подразделений ОВД осуществляется целенаправленная деятельность по извлечению, обработке и анализу электронной информации, содержащейся на различных средствах коммуникации и связи. В данном случае для более глубокого анализа информации, содержащейся в мобильном устройстве, используются специализированные аппаратно-программные комплексы и программное обеспечение. К наиболее востребованных у сотрудников правоохранительных органов следует отнести «Мобильный криминалист», «UFED» и «XRY» [9, с. 136].
Для полного уяснения рассмотрим более подробно основные особенности функционала и предназначение обозначенных технических решений.
«Мобильный криминалист» представляет собой программный комплекс для исследования и анализа сотовых телефонов, смартфонов и планшетов[1]. Принцип работы данного аппаратно-программного обеспечения основан на использовании низкоуровневых проприетарных протоколов доступа, которые позволяют извлечь больший объем данных в сравнении с логическим анализом информации. Данное программное обеспечение позволяет извлекать пользовательские данные из большинства приложений, используемых на платформах Android, iOS, Blackberry, Windows. К числу таких приложений относятся социальные сети, мессенджеры, интернет-браузеры, карты, телефонная книга, записная книга, блокнот, игры и др. Любой современный сотовый телефон содержит в себе установочные данные, контакты, сообщения, история браузера, фотографии, видео и аудио записи, сведения геолокации и т. д.
С использованием программного решения «Мобильный криминалист», оперативному сотруднику представляется возможным посредством проведения анализ данных с использованием аналитических инструментов восстановить удаленную информацию, воссоздать хронологию событий, сформировать круг общения пользователя исследуемого устройства (рис. 1-2).
Рис. 1. Функционал программного обеспечения, позволяющий установить пароли от аккаунтов пользователей в различных социальных сетях
Рис. 2. Функционал средства добывания оперативно значимой информации
Интересным аспектом в практике оперативно-разыскной деятельности является функция формирования межличностных связей путем создания схем, которые позволяют выявить связи между целевым абонентом и другими лицами. Оперативный сотрудник имеет возможность использовать различные фильтры для определения периода времени, количества связей, длительности разговоров, частоты звонков и хронологии, что позволяет выявить преступные связи, связанные с интересующим лицом. (рис. 3).
Рис.3. Фильтры, способствующие установлению периода времени, количество связей контакта, длительность разговора, частоту звонков, хронологию, установить потенциальные преступные связи
Заслуживает особого внимания и функция «Веб-соединения», отображающая местоположение владельца мобильного устройства. В данном случае местоположение владельца мобильного устройства определяется по точкам WiFi-соединений, IP-подключениям и использованию баз данных геоинформационных систем. WiFi-соединения позволяют сотруднику установить где и когда лицо подключалось к сети Интернет, в том числе посредством работы с его особенностями, такими как имя (SSID), физический адрес (MAC), уровень сигнала (RSSI) и др. «Мобильный криминалист» обеспечивает извлечение данных, с помощью которых возможно определить фактическое местоположение мобильного устройства.
Использование таких данных геоинформационных систем как «consolidated.db» и «cache_encryptedA.db» позволяют установить не только местоположение владельца мобильного устройства, но и маршруты его передвижения (рис. 4).
Рис. 4. Использование геоинформационных системы «consolidated.db»
Рис. 5. Использование геоинформационных системы «cache_encryptedA.db»
Особое значение при подготовке и проведении оперативно-розыскных мероприятий имеет функция «Анализ Биллингов», которая позволяет оперативному сотруднику, импортировать и анализировать биллинги, полученные от операторов сотовой связи (рис. 6).
Рис.6. Функция «Анализ биллингов»
Также данном исследовании предлагаем рассмотреть ещё одно эффективное средство технического контроля - программное обеспечение «XRY»[2]. Данный продукт занимает важное положение в области оперативно-разыскной деятельности, так как представляет собой комплексное аппаратно-программное решение, разработанное для операционной системы Windows, с целью безопасного извлечения оперативно значимой информации с мобильных устройств, включая смартфоны, планшеты, спутниковые навигационные системы, видеорегистраторы и т. д.
Аппаратно-программный комплекс «XRY» позволяет провести полный цикл исследования, включая формирование профессионального отчета. Функционал рассматриваемого технического решения также весьма разнообразен и представлен следующими видами:
– «XRY Logical» – это программное обеспечение, предназначенное для оперативного изъятия информации с мобильного устройства путем логического взаимодействия программного обеспечения с операционной системой устройства;
– «ХRY Physical» – это программное обеспечение, предназначенное для физического изъятия имеющихся защищенных, скрытых, удаленных данных в памяти мобильного телефона и его последующего анализа;
– «ID SIM-Cloner» – это программное обеспечение, предназначенное клонирования «ID» SIM-карт, позволяющая сохранять целостность информации
в мобильном устройстве при получении-передаче различных данных.
Внешне аппаратно-программный комплекс «XRY» включает в себя: комплект специальных соединительных кабелей для подключения мобильных устройств; USB устройство для обеспечения совместной работы с несколькими устройствами; устройство чтения «флеш-карт»; устройство чтения SIM и micro SIM-карт; комплект SIM и micro SIM-карт для их клонирования (рис.7).
Рис. 7. Аппаратно-программный комплекс «XRY»
Рассматриваемое программное обеспечение также позволяет формировать отчеты с результатами исследований. Это устройство является компактным, удобным и информативным. Позволяет оперативно, правильно и полно оценивать полученные результаты исследования для дальнейшего использования при решении задач ОРД.
Отдельно остановимся на таком техническом решении как «UFED»[3]. Данный аппаратно-программный комплекс позволяет в режиме реального времени проводить оперативные исследования мобильных устройств. Благодаря удобному и понятному интерфейсу, безопасному доступу оперативные сотрудники имеют возможность непосредственно извлекать пароли устройств, отключать или обходить пользовательские блокировки и декодировать данные более чем из 25000 приложений для мобильных устройств. В процессе применения данного комплекса можно изучить практически всю деятельность пользователя.
Обобщая опыт использования таких устройств при решении задач ОРД отметим, что данные технические инновации предназначены для извлечения, восстановления, изучения информации. К такой информации следует отнести:
– пароли;
– приложения;
– данные геопозиционирования в пространстве;
– информация о местоположении абонента;
– медиа данные;
– фотографии и видеозаписи;
– содержание электронных писем;
– переписка в чатах;
– веб-история;
– детализация соединений абонента и др.
Применение подобных продуктов предусматривает обязательное соблюдение конституционных прав и свобод человека и гражданина на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи.
Как показывает анализ практики, в деятельности правоохранительных органов отсутствует единый подход к пониманию пределов границ охраняемой законом тайны.
Оперативные сотрудники ОВД, проводя анализ цифровой информации, хранящейся в памяти мобильных телефонов, не ограничиваются просмотром только содержания телефонной книги. Для получения оперативно значимой информации необходимо также просмотреть удаленные SMS-сообщения, переписку, журнал совершенных звонков и другие данные. Иногда возникают ситуации, когда ответственный оперативный сотрудник, несмотря на обязательность получения положительного судебного решения, просматривает всю информацию, содержащуюся в мобильном устройстве. Поэтому основной акцент должен быть сделан на использовании таких инноваций только при наличии судебного разрешения.
Результаты исследования практики деятельности ОВД показывает, что наиболее популярными программными инструментами среди оперативных подразделений ОВД являются «MOBILedit» и «Мобильный криминалист». Тем не менее, функционал программ «UFED» и «XRY» превосходит аналогичные возможности «Мобильного криминалиста».
Одним из ключевых факторов для успешной деятельности сотрудников оперативных подразделений ОВД по раскрытию преступлений, совершаемых
с использованием технических средств и информационных технологий, лежит в применении подобных инновационных продуктов. Это в свою очередь требует осуществления комплекса мер правового, организационного и тактического характера, направленного, в частности, на улучшение уровня материальной, технической оснащенности, формирования кадрового потенциала, способного использовать такие техническое решения при решении задач ОРД.
Оперативные подразделения ОВД испытывают сложности, связанные
с недостаточным уровнем технического обеспечения, недостатком высококвалифицированных сотрудников и отсутствием опыта в данной сфере.
Для эффективного использования средств извлечения оперативно значимой информации из мобильных устройств необходимо обеспечить подготовку специалистов, проведение научно-исследовательских работ, конференций, семинаров, круглых столов и форумов. Также важно осуществлять мониторинг зарубежного законодательства и обмениваться передовым опытом с коллегами из других стран. Эти меры помогут улучшить работу оперативных подразделений и повысить их эффективность.
[1] Мобильный криминалист [Электронный ресурс] URL: https://mko-systems.ru/mobile-expert (дата обращения: 17.01.2024)
[2] XRY [Электронный ресурс] URL: https://www.msab.com/products/xry/#physical (дата обращения: 20.01.2024)
[3] UFED [Электронный ресурс] URL: http://www.cellebrite.com/ru/Mobile-Lifecycle/Platforms-Products (дата обращения: 23.05.2017)
1. Tretyakova, E. I. Mobile phone as a source of forensically significant information / E. I. Tretyakova // Bulletin of the Ural Financial and Legal Institute. - 2018. - No. 3(13). - pp. 49-51.
2. Samodelkin, A. S. Modern methods of identifying and solving crimes committed using digital technologies / A. S. Samodelkin, S. V. Timofeev // Bulletin of the East Siberian Institute of the Ministry of Internal Affairs of Russia. - 2022. - No. 2(101). - pp. 206-215.
3. Timofeev, S. V. On some aspects of attracting a specialist during the seizure of electronic storage media during operational search activities / S. V. Timofeev, V. R. Arutyunyan // Forensic science: yesterday, today, tomorrow. - 2020. - No. 1(13). - pp. 108-114.
4. Timofeev, S. V. Deanonymization of an Internet user as a method of operational investigative counteraction to drug crime / S. V. Timofeev // Yurist-Pravoved. - 2020. - No. 2(93). - pp. 170-174.
5. Timofeev, S. V. On the issue of obtaining operationally significant information on the Internet: problems and ways to solve them / S. V. Timofeev // Forensic science: yesterday, today, tomorrow. - 2021. - No. 2(18). - pp. 111-117.
6. Malykhina E. A. Structure and content of forensic characteristics of thefts of components of railway transport facilities and its significance for private investigation methods // Bulletin of the East Siberian Institute of the Ministry of Internal Affairs of Russia. - 2019. - No. 1 (88). - pp. 188-200.
7. Zheleznyak I. N. Discretion of powers in the operational investigative activities of internal affairs bodies as a marker of the “decrepitness” of the relevant law / I. N. Zheleznyak // Society and Law. - 2021. - No. 4 (78). - P. 67-71.
8. Gribunov O. P. Some features of the inspection of the scene of an incident in cases of theft of components of railway transport / O. P. Gribunov, E. A. Malykhina // Modern problems of legal science and law enforcement practice: collection. scientific art., dedicated 50th anniversary of the IKBFU Law Institute I. Kant. - 2017. - pp. 321-327.
9. Zemtsova, S. I. Participation of a specialist during the inspection of a cell phone for crimes related to the illicit trafficking of synthetic psychoactive substances committed using online stores / S. I. Zemtsova // Modern Law. - 2016. - No. 1. - P. 135-141.