Log файлы как доказательство совершения действий в сети интернет

Обновлено: 07.07.2024

Многие компании используют сайт как основной инструмент ведения бизнеса и взаимодействия с клиентами. В этом случае договор на оказание услуг заключается онлайн, а для акцепта пользователь должен поставить галочку в соответствующем поле.

Этот факт необходимо доказать, если к владельцу сайта возникают претензии со стороны контролирующих органов или потребителей, которые отрицают факт акцепта и пользования услугами. Например, человек оформил онлайн-займ через сайт МФО, а затем отказывается возвращать кредит и утверждает, что не открывал его. Это же касается ситуаций, когда посетитель сайта дает согласие на обработку персональных данных или подписывается на рассылку. Для доказательства совершения действий на сайте определенными пользователями можно использовать log-файл.

Он представляет собой электронный журнал учета системной информации. В нем отображается работа сервера и действия посетителей сайта. Лог-файл может храниться в текстовом или бинарном файле, базе данных.

Может ли log-файл быть представленным в суде?

Использование лог-файлов в качестве доказательства при рассмотрении уголовных и административных дел в суде регламентировано статьями 64 АПК РФ и 55 ГПК РФ. Информацию в судебные органы можно предоставить в виде текста на бумаге или на цифровом носителе с данными о логах, задействованных пользователем в приложениях и их настройках. Рекомендуем использовать оба способа одновременно.

Доказательством может выступать только корректный и неизмененный лог. При наличии признаков внесения изменений проводится экспертиза log-файла, которая позволяет оценить его подлинность. Лог-файлы имеют различную степень доказательственной силы в зависимости от источника получения. Всего различают три категории логов:

  1. Принадлежащие истцу (потерпевшему).
  2. Принадлежащие ответчику (обвиняемому).
  3. Принадлежащие третьим лицам (интернет-провайдер, хостинговая компания).

Самая низкая доказательственная сила – у логов из первой группы. Теоретически истец имеет возможность изменить файлы, являясь их обладателем. Для использования в качестве доказательства при рассмотрении дела целесообразным является заранее получить заключение эксперта о том, что файлы являются достоверными.

Если логи изымаются из систем, принадлежащих ответчику, в ходе следственных мероприятий, оформляется протокол изъятия, после чего файлы отправляют на экспертизу для установления достоверности. После получения заключения они приобретают доказательную силу.

При проведении судебного разбирательства адвокат имеет право подать запрос на получение логов от провайдера. Изучение данной информации может потребоваться юрлицу. Ему необходимо подать ходатайство об истребовании логов у поставщика интернет-услуг с обоснованием своих требований. Если они законны, суд обязует провайдера предоставить нужные сведения.

Примеры из судопроизводства

Можно привести немало примеров, где логи использовались в качестве полноценных доказательств и влияли на принятие судебного решения. В 2018 году Липецкий областной суд при рассмотрении уголовного дела 22-717/2018 признал доказательственную силу лог-файлов, которые подтвердили факт получения доступа к личному кабинету интернет-банка через браузер Google Chrome. Подлинность файлов была проверена и подтверждена экспертизой.

При рассмотрении дел в арбитражном суде логи использовали для проверки электронной подписи. Один из ярких примеров – дело А40-119118/2017. Изучение логов подтвердило, что истец подписывал платежные поручения, поскольку сведения из лог-файлов совпали с сертификатом ключа АСП истца.

При рассмотрении дела А63-9031/2010 суд подтвердил факт оказания консультационных услуг в рамках договора, изучив информацию из лог-файлов, где содержались сведения о соединениях между IP адресами ответчика и истца.

В деле А40-148298/18 лог-файлы послужили доказательством заключения онлайн-договора ОСАГО между страхователем и страховщиком.

Таким образом, при судебных разбирательствах log-файлы могут использоваться как полноценное доказательство, однако их правовой статус должен быть четко определен, а подлинность информации подтверждена экспертизой. Узнайте больше информации по этому вопросу, обратившись к команде юристов A4 Law Firm.

В настоящее время все больший размах приобретает борьба с преступностью в сфере высоких технологий. С момента принятия нового Уголовного кодекса РФ, в который были включены ст. 272-274 об ответственности за преступления в сфере компьютерной информации, в системе МВД РФ были созданы и начали активную работу соответствующие подразделения. Уголовные дела о преступлениях в сфере компьютерной информации рассматриваются судами, и по ним нередко выносятся обвинительные приговоры в отношении конкретных злоумышленников. В последнее время за расследование инцидентов в сфере компьютерной информации взялись, помимо некоторых частных детективных служб, даже службы безопасности крупных фирм – силами сотрудников с весьма сомнительной квалификацией.

В настоящее время все больший размах приобретает борьба с преступностью в сфере высоких технологий. С момента принятия нового Уголовного кодекса РФ, в который были включены ст. 272-274 об ответственности за преступления в сфере компьютерной информации, в системе МВД РФ были созданы и начали активную работу соответствующие подразделения. Уголовные дела о преступлениях в сфере компьютерной информации рассматриваются судами, и по ним нередко выносятся обвинительные приговоры в отношении конкретных злоумышленников. В последнее время за расследование инцидентов в сфере компьютерной информации взялись, помимо некоторых частных детективных служб, даже службы безопасности крупных фирм – силами сотрудников с весьма сомнительной квалификацией.

Как показывает практика, в ходе раскрытия и расследования преступлений в сфере компьютерной информации следователь выстраивает цепочку доказательств: данные осмотра места происшествия – исследование – наведение справок ­– выявление и задержание злоумышленника. На первом этапе в соответствии со статьями 164, 176 и 177 Уголовно-процессуального кодекса РФ производится осмотр места происшествия, то есть компьютерной системы, подвергшейся хакерской атаке. В ходе этого осмотра следователь изымает и приобщает к делу различные файлы протоколов, в том числе с межсетевых экранов, журналы операционных систем и прикладных программ и т.п. Затем после анализа этих лог-файлов специалистом определяется тактика дальнейшего расследования. В зависимости от конкретных обстоятельств дела далее получаются путем выемки или даже обыска файлы протоколов в провайдерских или хостинговых компаниях, компаниях, предоставляющих услуги проводной связи, а также в некоторых других местах. На основании этих лог-файлов устанавливается как минимум местонахождение (а иногда и такие сведения о личности, как данные паспорта или фотография) подозреваемого лица. Данные этих лог-файлов в дальнейшем предъявляются как доказательство в ходе судебного процесса.

  • Лог-файлы, изъятые с компьютера потерпевшего, в дальнейшем не имеют доказательственной силы, поскольку предварительно могли быть изменены как самим потерпевшим, так и независимо от его желания третьими лицами. После же изъятия лог-файлы могут быть изменены следователем, специалистом или оперативными сотрудниками правоохранительных органов.
  • Лог-файлы, полученные в провайдерских компаниях, в дальнейшем не имеют доказательственной силы, поскольку в соответствии с Законом РФ «О связи» провайдер не имеет права предоставлять кому бы то ни было информацию о частной жизни граждан без судебного решения. На основании же одних подозрений следователя (ведь лог-файлы с компьютера потерпевшего доказательственной силы не имеют) суды не будут выносить такое решение.
  • Результаты исследования каких-либо компьютеров (в том числе и изъятых у подозреваемых лиц), произведенного экспертом, не имеют доказательственной силы, поскольку для производства подобных экспертиз эксперт должен использовать методики, сертифицированные Министерством юстиции и состоять на службе в специализированном экспертном учреждении. Фактически на данный момент в штате экспертных учреждений Министерства юстиции (и даже МВД и ФСБ – прим. автора) таких специалистов нет.
  • Для пресечения преступлений в сфере компьютерной информации необходимо разработать специальное «Интернет-законодательство» и «Интернет-право», поскольку обычные законы не могут действовать в киберпространстве.

    • Руководствуясь этими соображениями, нетрудно сделать ошибочный вывод, что доказать какое-либо преступление в сфере компьютерной информации в настоящее время практически невозможно. И, как результат, некоторые посетители таких форумов, не обладающие достаточной юридической подготовкой, нередко сами совершают правонарушения, после чего без особых сложностей привлекаются к уголовной ответственности.

    На самом же деле возникающие при оценке доказательственной силы лог-файлов затруднения легко разрешаются в рамках действующего законодательства. Как и во многих других аспектах нашей жизни, теория явно не выдерживает столкновения с практикой. Подобно тому, как первое кругосветное путешествие доказало несостоятельность теории плоской Земли, первое же судебное заседание по делу гражданина, обвиненного по ст. 272 УК РФ, доказало несостоятельность доморощенных юридических теорий. Обвиняемый (в гор. Волгограде) получил наказание в виде двух лет лишения свободы условно, а практикующие юристы – ценный опыт, который и был применен при расследовании уголовных дел по ст. 272 и 273 УК РФ в различных субъектах РФ.

    Для лучшего понимания дальнейшего текста приведем простой пример, сравнив компьютерную преступность с общеуголовной. Допустим, что совершено ограбление и убийство. Родственники потерпевшего обратились в милицию, после чего следователь вынул из трупа окровавленный нож со следами пальцев убийцы. По отпечаткам пальцев убийца был установлен и задержан. Однако в свою защиту он заявляет, что отпечатки его пальцев на ноже были фальсифицированы следователем или родственниками убитого, а украденные из квартиры вещи подбросили ему работники милиции. То есть он невиновен и требует немедленного освобождения. Такое заявление не так нелепо, как кажется. Любой следователь может вспомнить многих «клиентов», которые рассказывали и более странные истории. На самом деле это верный способ получить максимальный срок по инкриминируемой статье.

    Следователь и суд оценивают собранные по делу доказательства на основании статей 87 и 88 Уголовно-процессуального кодекса РФ. Так, в соответствии со статьей 87 «проверка доказательств производится дознавателем, следователем, прокурором, судом путем сопоставления их с другими доказательствами, имеющимися в уголовном деле, а также установления их источников, получения иных доказательств, подтверждающих или опровергающих проверяемое доказательство». В соответствии со статьей 88, «каждое доказательство подлежит оценке с точки зрения относимости, допустимости, достоверности, а все собранные доказательства в совокупности - достаточности для разрешения уголовного дела». Эта же статья указывает, что конкретные доказательства по уголовному делу могут быть признаны недопустимыми (то есть не имеющими юридической силы) либо следователем, либо судом.

    Очевидно, что в ходе расследования уголовного дела о преступлении в сфере компьютерной информации следователь едва ли согласится признать недопустимым доказательством собственноручно изъятые им лог-файлы. У привлеченного к уголовной ответственности злоумышленника остается единственный выход – заявить соответствующее ходатайство непосредственно в судебном заседании. В этом случае рассмотрение ходатайства будет осуществляться с соблюдением требований статьи 234 Уголовно-процессуального кодекса: «при рассмотрении ходатайства об исключении доказательства, заявленного стороной защиты на том основании, что доказательство было получено с нарушением требований настоящего Кодекса, бремя опровержения доводов, представленных стороной защиты, лежит на прокуроре. В остальных случаях бремя доказывания лежит на стороне, заявившей ходатайство.» Таким образом, если следователь или оперативные работники не допустили процессуальных нарушений при изъятии лог-файлов, то доказывать факт их подделки потерпевшим или третьими лицами придется не кому-нибудь, а самому злоумышленнику. И ему в полной мере придется ощутить мудрость Конфуция: «Трудно поймать чёрную кошку в темной комнате, особенно когда её там нет!»

    При осмотре места происшествия и изъятии лог-файлов единственной новацией по сравнению с раскрытием общеуголовных преступлений является необходимость обеспечить присутствие при осмотре достаточно компетентных понятых, которые понимали бы смысл действий следователя (и, возможно, приглашённого им специалиста) по изъятию лог-файлов. В остальном же осмотр места происшествия является одним из наиболее стереотипных и отлично описанных в специальной литературе следственных действий. Поэтому, если проблема компетентности понятых решена, то какие-либо другие процессуальные нарушения крайне маловероятны. В результате оспорить доказательственное значение лог-файлов, снятых с компьютера потерпевшего, как правило, не удается.

    Второе обычное заблуждение касается правомерности получения лог-файлов у провайдерских и телекоммуникационных компаний. Эти действия осуществляются в соответствии с Законами РФ «О милиции» и «Об оперативно-розыскной деятельности». Действительно, в Законе РФ «О связи» содержатся положения о тайне связи. Так, в статье 31 этого закона говорится:

    В большинстве случаев у провайдерских компаний запрашиваются данные, непосредственно касающиеся самого потерпевшего (такие как детализация соединений под его логином, звонков на его модемный пул и т.п.). Эти данные следователь получает у провайдерской компании с личного письменного согласия самого потерпевшего, то есть с точки зрения Закона «О связи» фактически выступает в роли его законного представителя. Поэтому полученные данные никак не могут считаться недопустимым доказательством и могут быть использованы в суде и на предварительном следствии.

    В остальных случаях данные у телекоммуникационных компаний могут быть получены на основании судебного решения. Поскольку, как было рассмотрено выше, ранее полученные лог-файлы все-таки имеют доказательственную силу, не усматривается никаких препятствий для положительного решения суда. Следует также учесть, что такие решения принимаются единолично судьей, без участия сторон. В результате, как показывает личный опыт автора, суды удовлетворяют поступающие из правоохранительных органов ходатайства в 95 % случаев. Остальные 5 % приходятся на случаи явной халтуры при составлении документов и грубых ошибок отдельных оперативных сотрудников. Полученные по решению суда данные, разумеется, также используются в суде и на предварительном следствии. Таким образом, падает и второй бастион защитников свободы компьютерного хулиганства…

    Но вот личность злоумышленника установлена, используемая им техника изъята и отправлена на экспертизу. На этом этапе адвокаты обвиняемого вслед за общественностью поднимают вопрос: кто может выступить в качестве эксперта? К сожалению, и здесь спорить не о чем. Ответ на этот вопрос уже дан Уголовно-процессуальным кодексом РФ. Статья 57 УПК, определяющая статус эксперта, гласит:

    «1. Эксперт - лицо, обладающее специальными знаниями и назначенное в порядке, установленном настоящим Кодексом, для производства судебной экспертизы и дачи заключения.

    2. Вызов эксперта, назначение и производство судебной экспертизы осуществляются в порядке, установленном статьями 195 - 207, 269, 282 и 283 настоящего Кодекса.

    3. Эксперт вправе:

    1) знакомиться с материалами уголовного дела, относящимися к предмету судебной экспертизы;

    2) ходатайствовать о предоставлении ему дополнительных материалов, необходимых для дачи заключения, либо привлечении к производству судебной экспертизы других экспертов;

    3) участвовать с разрешения дознавателя, следователя, прокурора и суда в процессуальных действиях и задавать вопросы, относящиеся к предмету судебной экспертизы;

    4) давать заключение в пределах своей компетенции, в том числе по вопросам, хотя и не поставленным в постановлении о назначении судебной экспертизы, но имеющим отношение к предмету экспертного исследования;

    5) приносить жалобы на действия (бездействие) и решения дознавателя, следователя, прокурора и суда, ограничивающие его права;

    6) отказаться от дачи заключения по вопросам, выходящим за пределы специальных знаний, а также в случаях, если представленные ему материалы недостаточны для дачи заключения.

    4. Эксперт не вправе:

    1) без ведома следователя и суда вести переговоры с участниками уголовного судопроизводства по вопросам, связанным с производством судебной экспертизы;

    2) самостоятельно собирать материалы для экспертного исследования;

    3) проводить без разрешения дознавателя, следователя, суда исследования, могущие повлечь полное или частичное уничтожение объектов либо изменение их внешнего вида или основных свойств;

    4) давать заведомо ложное заключение;

    5) разглашать данные предварительного расследования, ставшие известными ему в связи с участием в уголовном деле в качестве эксперта, если он был об этом заранее предупрежден в порядке, установленном статьей 161 настоящего Кодекса.

    5. За дачу заведомо ложного заключения эксперт несет ответственность в соответствии со статьей 307 Уголовного кодекса Российской Федерации.

    6. За разглашение данных предварительного расследования эксперт несет ответственность в соответствии со статьей 310 Уголовного кодекса Российской Федерации.»

    При этом с статье 195 указывается: «Судебная экспертиза производится государственными судебными экспертами и иными экспертами из числа лиц, обладающих специальными знаниями». При этом в кодексе круг «иных» экспертов никак не очерчен, и никаких специальных сертификатов, в том числе от Министерства юстиции, экспертам не требуется. Иными словами, в качестве эксперта может быть привлечено любое лицо, обладающее необходимыми знаниями и навыками. Уровень компетентности эксперта при этом определяет следователь.

    Разумеется, в суде обвиняемый или его адвокат могут заявить ходатайство об отводе эксперта по мотивам его некомпетентности или требовать приглашения собственного эксперта. Однако до сих пор автору неизвестно ни одного случая, когда такие ходатайства удовлетворялись бы судом. Дело в том, что следователи поручают производство экспертизы достаточно компетентным специалистам, которые к тому же «от сердца к сердцу» передают друг другу некоторую общую методику производства подобных исследований (разработана Следственным комитетом МВД РФ и несколько модернизирована НИП «Информзащита»), обеспечивающую доказательственное значение результата экспертизы. И тут адвоката ждет фиаско!

    Наконец, не выдерживает никакой критики предложение обзавестись специальным «Интернет-правом». На самом деле практикующие юристы встречают такие предложения с большим недоверием. Право для того и предназначено, чтобы регулировать наиболее важные общественные отношения, и немыслимо каждую предметную область комплектовать собственной отраслью права. В ином случае, придется создавать не только компьютерное, но и медицинское, геологическое, химическое, канцелярское право. И еще много других отраслей…

    Этот подход ведет в тупик. В действительности практически все вопросы взаимоотношений между пользователями компьютерных сетей и телекоммуникационными компаниями могут быть решены в рамках традиционного гражданского, административного и даже уголовного права. Телекоммуникации и сеть Интернет – далеко не единственная в настоящее время транснациональная структура. Транспортные компании, почтовые службы, многие корпорации с диверсифицированной инфраструктурой действуют на территории многих стран. В одно и то же время их деятельность подчиняется различным национальным законам, что ничуть не мешает процветанию соответствующего бизнеса. Тем не менее корпорации не требуют ввести специфическое автомобилестроительное или почтовое право. Фактически все вопросы защиты интересов как компании, так и ее клиентов решаются в соответствии с законодательством того или иного государства.

    Таким образом, общеупотребительные на сетевых форумах представления далеко не во всем совпадают с российской реальностью. А такой разрыв между представлениями и суровой реальностью может привести к крайне неприятным последствиям в зале суда…

    =============================================================
    В курсе РАССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ ИНЦИДЕНТОВ подробно разбираются все аспекты деятельности службы безопасности (отдела информационной безопасности) организации при реагировании на инциденты в информационной системе, в том числе методика предупреждения таких инцидентов, ликвидации нанесенного ими ущерба, пресечения хакерской активности, перекрытия каналов незаконного съема информации и выявления виновных лиц. На конкретных примерах рассматриваются недочеты деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации. Слушатели получают информацию о факторах риска для информационных систем организации, представляющих наибольшую опасность. На основе обобщения большого числа КИ даются рекомендации по снижению вероятности КИ.
    =============================================================

    лог файлы

    Лог-файл представляет собой «бортовой журнал» компьютера, сервера или коммуникационного оборудования, – последовательную запись технической информации, в которой отражаются в хронологическом порядке все обращения к данному оборудованию и раскрываются сведения о совершенных как локальными, так и удаленными пользователями действия. Проще говоря, исходя из лог-файла, можно выяснить:

    • Какой пользователь совершал те или иные действия?
    • Когда эти действия совершались?
    • Откуда пользователь выходил на связь?

    Ценность лог-файлов для следствия и суда

    Данные лог-файлов имеют ценность для следствия при раскрытии преступлений по статьям 272 – 274 УК РФ (связанным с информационными технологиями) и прочих правонарушений, совершаемых с использованием компьютерной техники. Следователь, выстраивая цепочку доказательств, последовательно собирает лог-файлы:

    • На электронном устройстве жертвы.
    • На промежуточном оборудовании между устройством злоумышленника и оборудованием жертвы (включая оборудование интернет провайдеров, маршрутизирующие устройства и т.п.).
    • На электронном устройстве злоумышленника (в том числе в ходе обыска).

    На основании лог-файлов можно достоверно установить:

    • Факт наличия состава преступления
    • Причастность тех или иных лиц к совершению преступления
    • Хронологию совершения преступления и другие моменты, значимые с точки зрения судебного процесса.

    Возможность применения лог-файлов в качестве доказательства

    Вопреки распространенному мнению о том, что в существующем правовом поле следствие не имеет возможности законно осуществлять изъятие лог-файлов и применять их в качестве улики в суде, есть достаточно много дел, где по статьям, связанным с кибер-преступностью, были вынесены обвинительные приговоры на основании лог-файлов. В российское правовое поле работа с логами на электронном оборудовании укладывается следующим образом:

    • Для того, чтобы изъятые логи были применимы в суде, как и все прочие улики, они должны быть изъяты в присутствии понятых. При этом в качестве понятных должны привлекаться лица с достаточным уровнем подготовки, чтобы понимать смысл совершаемых следователем (или привлеченным специалистом) действий. Соответственно, в качестве понятых привлекаются люди, компетентность которых в технических вопросах не вызывает сомнений.
    • Для того, чтобы получить от телекоммуникационных компаний логи с промежуточного оборудования, подается ходатайство от потерпевшего, в соответствии с которым правоохранительные органы фактически выступают его представителем.
    • В соответствии со статьей 57 УПК РФ анализом собранных данных занимаются эксперты соответствующей квалификации.

    Соответственно, спекуляции на тему неприменимости лог-файлов в качестве доказательства в суде, полностью беспочвенны. Существующее российское правовое поле полностью покрывает все процедурные и процессуальные вопросы, связанные с изъятием, анализом и судебным представлением лог-файлов в качестве улик.

    Вы подверглись оскорблениям со стороны пользователя в интернете? internetnotarius заверит интернет-страницу и вы сможете предоставить ее как доказательство в суде.


    Тел.: 8 (495) 767-12-77, 8 (495) 609-00-08
    Адрес: Москва, Страстной Бульвар, д.7, стр. 1, 2 этаж

    X Спасибо за то, что воспользовались системой электронной записи!
    Вы записаны к нотариусу Чернигову И.О. по адресу: Страстной бульвар, д. 7, стр. 1
    Сохраните либо распечатайте данное уведомление и предъявите его в кабинете №3.
    Просим проходить сразу в кабинет №3, МИНУЯ ОЧЕРЕДЬ, тем самым не вызывая излишнего ажиотажа среди ожидающих.

    Если Вы не можете посетить нас в назначенное время - НЕ НУЖНО ЗВОНИТЬ и отменять или переносить запись, просто запишитесь еще раз на сайте или приходите без записи.

    Сейчас все чаще и чаще мне приходиться слышать: «В Отделе «К» работают одни идиоты! Да… они нас никогда не посадят! Они ловят только сопливых мальчиков, стыривших пароль от Интернета у своего соседа ламера!» Это все говорит о весьма пренебрежительном отношении к российской правоохранительной системе в целом, и к отделу «К» в частности. А это плохо. Ведь закон и право в обществе должны
    быть уважаемы.

    Сравнительно недавно, бороздя просторы Интернета, я наткнулся на форум с очень интересным топом: «Логи – это не доказательства, можете их не удалять» (название изменено мной умышленно, дабы никого не обидеть… кто знает, тот и так поймет). Если честно, меня это ввело в ступор! Прочитав топ я понял, что писал его мальчик лет 15, который и понятия не имеет о том, как работают следователи. По сути, он даже не знает, что такое доказательства в суде. Основными аргументами, которыми этот новоявленный хакер защищал свою теорию были следующие слова: «Сами провы могут подделать логи. Ну или в крайнем случае это могут сделать следователи». Но ведь любые (ну … любые не любые, но многие) доказательства можно подделать! Так же он говорил, что log-файлы, полученные у провайдера, в дальнейшем не имеют доказательственной силы, поскольку в соответствии с Законом РФ «О связи» провайдер не имеет права предоставлять кому бы то ни было информацию о частной жизни граждан без судебного решения. Руководствуясь этими соображениями, нетрудно сделать ошибочный вывод, что доказать какое-либо преступление в сфере компьютерной информации в настоящее время практически невозможно. И, как результат, некоторые посетители такого рода форумов, не обладающие достаточной юридической подготовкой, нередко сами совершают правонарушения, после чего без особых сложностей привлекаются к уголовной ответственности. Весьма примечательно в данной ситуации заявление другого участника этого форума о том, что результаты исследования каких-либо компьютеров (в том числе и изъятых у подозреваемых лиц), произведенного экспертом, не имеют доказательственной силы, поскольку для производства подобных экспертиз эксперт должен использовать методики, сертифицированные Министерством юстиции и состоять на службе в специализированном экспертном учреждении. Фактически на данный момент в штате экспертных учреждений Министерства юстиции таких специалистов нет. Вот в общих словах теория, изложенная в вышеупомянутом форуме. Теперь попробуем разобраться как дела обстоят на самом деле!

    Давайте представим ситуацию: совершено ограбление и убийство. Родственники потерпевшего обратились в милицию. Следователь выехал на место преступления. После осмотра, он вынул из трупа окровавленный нож со следами пальцев убийцы. Естественно, все это проходило с присутствием понятых и с соблюдением всех процессуальных норм. По отпечаткам пальцев убийца был установлен и задержан. Однако в свою защиту он заявляет, что отпечатки его пальцев на ноже были фальсифицированы следователем или родственниками убитого, а украденные из квартиры вещи подбросили ему работники милиции. То есть он невиновен и требует немедленного освобождения. Любой следователь может вспомнить многих «клиентов», которые рассказывали и более странные истории. На самом деле это верный способ получить максимальный срок. Следователь и суд оценивают собранные по делу доказательства на основании статей 87 и 88 Уголовно-процессуального кодекса РФ (далее УПК РФ). Подводя итог вышеописанной ситуации, хочу спросить: «Этот нож будет доказательством. » Правильно, будет! Так почему log-файлы не будут. Ведь это такие же следы (улики) как и этот нож.

    Это было очень простое, бытовое обоснование доказательственного значения log-файлов. Давайте попробуем подняться на уровень выше. Посмотреть на эту ситуацию с позиции тех людей, которые расследуют преступления в сфере компьютерной информации.
    Итак, всем вам хорошо известна гл. 28 Уголовного кодекса РФ – «Преступления в сфере компьютерной информации». Большинство уголовных дел в отношении нашего брата возбуждается сейчас как раз по статьям этой главы (ст. 272-274).
    Как показывает практика, в ходе раскрытия и расследования преступлений в сфере компьютерной информации следователь выстраивает цепочку доказательств: данные осмотра места происшествия – исследование – наведение справок – выявление и задержание преступника. На первом этапе в соответствии со статьями 164, 176 и 177 УПК РФ производится осмотр места происшествия, то есть ПК, подвергшегося атаке. В ходе этого осмотра следователь изымает и приобщает к делу различные файлы протоколов, в том числе с межсетевых экранов, журналы операционных систем и прикладных программ и т.п. Данные протоколы можно условно и очень обобщенно назвать log-файлами. Затем после их анализа специалистом определяется тактика дальнейшего расследования. В зависимости от конкретных обстоятельств дела данные получаются путем выемки или даже обыска файлы протоколов в провайдерских или хостинговых компаниях, компаниях, предоставляющих услуги связи, а также в некоторых других местах. На основании этих файлов устанавливается как минимум местонахождение (а иногда и такие сведения о личности, как данные паспорта или фотография) подозреваемого лица. В дальнейшем они используются как доказательство в суде.

    Очевидно, что в ходе расследования уголовного дела о преступлении в сфере компьютерной информации следователь едва ли согласится признать недопустимым доказательством собственноручно изъятые им log-файлы. У привлеченного к уголовной ответственности злоумышленника остается единственный выход – заявить соответствующее ходатайство непосредственно в судебном заседании. В этом случае рассмотрение ходатайства будет осуществляться с соблюдением требований пункта 5 статьи 234 УПК РФ: «В случае, если стороной заявлено ходатайство об исключении доказательства, судья выясняет у другой стороны, имеются ли у нее возражения против данного ходатайства. При отсутствии возражений судья удовлетворяет ходатайство и выносит постановление о назначении судебного заседания, если отсутствуют иные основания для проведения предварительного слушания». Также стоит отметить, что изъятие доказательств производиться в соответствии со статьей 235 УПК РФ.

    При осмотре места происшествия и изъятии log-файлов единственным новшеством по сравнению с раскрытием общеуголовных преступлений является необходимость обеспечить присутствие при осмотре достаточно компетентных понятых, которые понимали бы смысл действий следователя (и, возможно, приглашённого им специалиста) по изъятию log-файлов. В остальном же осмотр места происшествия является одним из наиболее стереотипных и отлично описанных в специальной литературе следственных действий. Поэтому, если проблема компетентности понятых решена, то какие-либо другие процессуальные нарушения крайне маловероятны. В результате оспорить доказательственное значение log-файлов, снятых с компьютера потерпевшего, как правило, не удается.

    Но вот личность злоумышленника установлена, используемая им техника изъята и отправлена на экспертизу. На этом этапе адвокаты обвиняемого вслед за общественностью поднимают вопрос: кто может выступить в качестве эксперта? К сожалению, и здесь спорить не о чем. Ответ на этот вопрос уже дан УПК РФ.

    Статья 57 УПК, определяющая статус эксперта, гласит:

    1. Эксперт - лицо, обладающее специальными знаниями и назначенное в порядке, установленном настоящим Кодексом, для производства судебной экспертизы и дачи заключения.

    2. Вызов эксперта, назначение и производство судебной экспертизы осуществляются в порядке, установленном статьями 195 - 207, 269, 282 и 283 настоящего Кодекса.

    3. Эксперт вправе:
    1) знакомиться с материалами уголовного дела, относящимися к предмету судебной экспертизы;
    2) ходатайствовать о предоставлении ему дополнительных материалов, необходимых для дачи заключения, либо привлечении к производству судебной экспертизы других экспертов;
    3) участвовать с разрешения дознавателя, следователя, прокурора и суда в процессуальных действиях и задавать вопросы, относящиеся к предмету судебной экспертизы;
    4) давать заключение в пределах своей компетенции, в том числе по вопросам, хотя и не поставленным в постановлении о назначении судебной экспертизы, но имеющим отношение к предмету экспертного исследования;
    5) приносить жалобы на действия (бездействие) и решения дознавателя, следователя, прокурора и суда, ограничивающие его права;
    6) отказаться от дачи заключения по вопросам, выходящим за пределы специальных знаний, а также в случаях, если представленные ему материалы недостаточны для дачи заключения.

    4. Эксперт не вправе:
    1) без ведома следователя и суда вести переговоры с участниками уголовного судопроизводства по вопросам, связанным с производством судебной экспертизы;
    2) самостоятельно собирать материалы для экспертного исследования;
    3) проводить без разрешения дознавателя, следователя, суда исследования, могущие повлечь полное или частичное уничтожение объектов либо изменение их внешнего вида или основных свойств;
    4) давать заведомо ложное заключение;
    5) разглашать данные предварительного расследования, ставшие известными ему в связи с участием в уголовном деле в качестве эксперта, если он был об этом заранее предупрежден в порядке, установленном статьей 161 настоящего Кодекса.

    5. За дачу заведомо ложного заключения эксперт несет ответственность в соответствии со статьей 307 Уголовного кодекса Российской Федерации.

    6. За разглашение данных предварительного расследования эксперт несет ответственность в соответствии со статьей 310 Уголовного кодекса Российской Федерации.

    Разумеется, в суде обвиняемый или его адвокат могут заявить ходатайство об отводе эксперта по мотивам его некомпетентности или требовать приглашения собственного эксперта. Однако до сих пор автору неизвестно ни одного случая, когда такие ходатайства удовлетворялись бы судом. Дело в том, что следователи поручают производство экспертизы достаточно компетентным специалистам, которые к тому же передают друг другу некоторую общую методику производства подобных исследований (разработана Следственным комитетом МВД РФ и несколько модернизирована НИП «Информзащита»), обеспечивающую доказательственное значение результата экспертизы.

    Вот по сути и все!

    Давайте подведем итоги, log-файл – это одно из самых весомых доказательств, которое можно было вообще придумать! По сути, это все что имеет следователь на начальном этапе расследования. И если вы ему не сделает такого подарка, он вас никогда не найдет. Не зря ведь журнал «][акер» предупреждал не раз: «ЧИСТИМ ЛОГИ, Господа!»

    Читайте также: