аспирант кафедры криминалистики, Юридический факультет, МГУ им. М.В. Ломоносова, РФ, г. Москва
Индексация электронных сообщений, используемых в качестве доказательств при расследовании преступлений
АННОТАЦИЯ
Статья посвящена исследованию большого количества электронных сообщений путем индексации. В статье раскрываются способы поиска в электронной переписке.
ABSTRACT
The article is devoted to the study of a large number of electronic messages by indexing. The article describes the methods of searching in electronic correspondence.
Ключевые слова: индексация, электронные сообщения, электронные доказательства.
Keywords: indexation, e-messages, digital evidence.
Технический прогресс не стоит на месте, современные технические достижения играют большую роль в жизни людей. В настоящее время мало кто может обойтись без смартфона, почти все имеют аккаунт в социальных сетях, пользуются компьютером. Произошёл переход от аналоговых средств регистрации информации к цифровым, тем самым, некоторые учёные рассуждают о появлении совершенно новой и специфической криминалистической категории – «виртуальные следы» [3, с. 98]. К сожалению, такой прогресс служит не только благим целям, но и помогает развиваться преступности, создавая новые способы и средства совершения преступления, способы связи и взаимодействия преступников между собой, взаимодействия преступника с жертвой.
Одним из результатов такого перехода стало возрастание информационного обмена между людьми именно с использованием электронных устройств. Речь идет не только о речевом общении, а именно об обмене мыслями, выраженными на письме – о переписке. Значимость информации, хранящейся в переписках, нельзя недооценивать. В наше время общение людей по переписке происходит даже чаще, чем вживую. Посредством электронных сообщений люди общаются, договариваются о встречах и даже ведут бизнес.
В настоящее время сеть «Интернет» играет огромную роль в общении людей. Такое общение используется и для совершения преступлений. Речь идет не о преступлениях, в сфере компьютерной информации [1], а о совершенно любом преступлении. Злоумышленники планируют преступления с помощью сети «Интернет», связываются и поддерживают связь между собой с помощью электронных сообщений. Электронные сообщения хранят в себе большое количество криминалистически важных следов преступления, которые можно и нужно использовать при расследовании, а также при доказывании.
Электронные сообщения – это огромный массив информации. Найти в нем нужные данные, которые будут иметь отношение к делу, довольно сложно. Для этих целей применяется поиск по ключевым словам, или индексирование. Ключевое слово – это такое слово, которое содержится в искомом сообщении или характеризует его и позволяет отыскать нужное сообщение. Индекс – это число, буквы, слово или другая комбинация символов, структура данных, которая содержит информацию о документе (в нашем случае о сообщении) и позволяет обеспечить быстрый и точный поиск нужной информации.
Поиск в электронной переписке начинается с определения круга лиц, электронных почтовых адресов, переписки с которыми потенциально могут содержать нужную информацию. С помощью уже имеющейся информации ограничивается временной промежуток, в который могла быть совершена переписка, содержащая искомую информацию. После происходит поиск непосредственно переписки (с определенными лицами и в определенный промежуток времени). В найденной переписке уже осуществляется поиск по ключевым словам.
Поиск осуществляется с помощью специального программного обеспечения. Существует огромное количество таких программ. Во-первых, это специализированные коммерческие программные комплексы, такие как AccessData FTK, EnCase, BelkaSoft и Архивариус (оба Российские), Oxiom, BlackBag и другие. В данных программах имеется опция по поиску интересуемых слов. Существуют также программные комплексы, которые позволяют искать ключевые слова в больших массивах данных и, кроме того, обладают некоторыми аналитическими функциями, с помощью которых можно фильтровать файлы по тематикам. К таким программам относятся: ZyLab, Relativity, Nuix, Ringtail и другие.
Формирование ключевых слов осуществляется с учетом контекста расследуемого события. В рамках расследования уголовного дела, ключевые слова должны составляться следователем с учетом всей информации, имеющейся по данному делу.
Продумывание ключевых слов должно осуществляться в соответствии со следующим алгоритмом:
1. Производится формулировка цели, а именно примерное представление об информации, которую пытаемся найти;
2. Производится оценка имеющейся у нас информации по контексту расследуемого события;
3. Производится сопоставление имеющейся и искомой информации, определяются основные пробелы (под пробелами автор понимает недостаточность доказательственной информации во всем объеме информации, полученной в ходе расследования конкретного уголовного дела), которые требуется найти посредством поиска;
4. С учетом определившихся пробелов выявляются основные слова, фразы, которые может содержать искомая информация;
5. Формируются синонимы выявленных фраз и слов;
6. С учетом сторон, ведущих переписку, определяются особенности, которые могут быть присущи общению именно между ними (сленг, шифр);
7. Формируются синонимы с учетом характерных особенностей (чаще всего это – преступный сленг);
8. Формируется заключительный список ключевых слов и их синонимов.
Что касается опечаток или орфографических ошибок, похожих слов – программа обеспечивает и их поиск. Например, для поиска в сообщениях информации о взятке с помощью программы ZyLab, могут использоваться следующие ключевые слова (Язык запроса программы ZyLab: * - любое количество любых символов, OR- логическое «или», w/2 – искать следующее слово на расстоянии не больше 2 слов от первого [2, с. 118]):
- Возм. OR возме* OR откат* OR взятк* OR взяточ* OR взяток* OR подкуп* OR отплат* OR отблагодар* OR облагодет* OR озоло* OR "на лапу" OR прикорм* OR подкорм* OR "в карман*";
- обнал* OR налом* OR налик* OR наличны* OR конверт*;
- (моя OR моей OR мою OR наша OR нашей OR нашу OR своя OR своей OR свою) w/2 (компани* OR фирм* OR контор*);
- "в доле" OR распил* OR навар* OR дележ*.
Современное программное обеспечение позволяет расширять область действия поискового запроса, например, включив в него синонимы.
Программа ZyLab и ей подобные включают в себя различных операторов поиска. Например, логический оператор поиска позволяет извлекать все файлы, содержащие один или оба условия запроса. Он часто используется для объединения сходных, эквивалентных или синонимичных понятий. Он также используется для поиска аббревиатур и сокращений.
Поиск по ключевым словам в электронной переписке может осуществляться как в рамках компьютерно-технической экспертизы, так и непосредственно следователям в рамках осмотра устройства. Для этого следователю требуется установить программу ZyLab (или подобные программы) на свой рабочий компьютер, подключить к нему исследуемое устройство и с помощью программы выгрузить данные из устройства на свой компьютер, после чего исследовать эти данные, а именно сообщения с помощью вышеуказанной программы. Исследование и будет заключаться в индексации сообщений. Современные вышеописанные программы обладают достаточно удобным интерфейсом, понятным каждому. Разумеется, такие действия не всегда могут быть осуществлены следователем, поскольку доступ к данным на устройстве не всегда просто получить, и если для этого потребуются специальные знания, устройство должно быть направлено на экспертизу. Найденные сообщения должны фиксироваться в протоколе осмотра или же в заключении эксперта. Сами же электронные сообщения должны быть перенесены на электронный носитель и приобщены к материалам дела.
Список литературы:
- Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (ред. от 07.04.2020) // [Электронный ресурс] – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_10699/ (дата обращения 20.05.2021).
- ZyLAB General Search Language Guide // ZYLAB. 2016. P. 118. // [Электронный ресурс] – Режим доступа: https://docs.zylab.com/articles/#!zylab-one-search-language-guide-publication/10824 (дата обращения 20.05.2021).
- Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования // Воронеж: Изд-во Воронеж. гос. ун-та, 2002. С. 94 – 119.