Ознакомительная версия. Доступно 15 страниц из 74
Судье пришлось принимать решение. Продолжать ли судебный процесс? Или отложить заседание, а присяжных изолировать на неделю, пока Ангус обследует компьютеры? Он решил продолжать. Присяжные выслушали все показания жертв и выкладки Ангуса. Ангус высказывался очень осторожно (и подчеркнул, что стопроцентных доказательств нет), но его показания были расценены как лишний аргумент в пользу того, что Дэвид – лжец и манипулятор. Посовещавшись, присяжные нашли Дэвида виновным. В настоящее время он отбывает 20-летний срок в тюрьме.
Как видно из случая с кейлогером, чем больше людей, пользующихся все большими возможностями компьютера, тем труднее криминалистам делать свое дело. В некоторых видах экспертизы возможен четкий ответ (скажем, на вопрос «кому из двух людей принадлежит эта кровь?»). Коллеги Ангуса же должны выносить суждение о подлинности данных, выстраивать графики сетевой и внесетевой деятельности, оценивать надежность алиби. Здесь необходима «золотая середина» между воображением и строгостью.
Ангус любит свою работу, поскольку в ней есть интеллектуальный вызов. «Всегда узнаешь что-то новое. Не тянешь лямку день за днем, а решаешь проблемы». Труднее всего смириться с ситуацией, когда расследование ничего не дает. «Не знаю никого в нашем деле, кто останавливается, не получив результатов. Ты делаешь попытки снова, снова и снова, так как что-то должно быть, всегда что-то есть. Нелегко признать, что ты сделал все возможное и уперся в стену».
Чтобы взяться за дело, Ангусу нужен материал. А достать его – подчас головная боль. «Мы не можем ворваться в офис и перетряхнуть компьютеры всех сотрудников, чтобы добраться до одной паршивой овцы. Необходимо действовать адекватно». Добыть для Ангуса материал – дело полиции. А полиции нужен ордер на обыск, чтобы получить право конфисковать цифровые девайсы из гостиной подозреваемого или из его кармана брюк.
Когда девайс находят на месте преступления, он часто несет на себе отпечатки пальцев и следы ДНК. Однако магнитные кисти, с помощью которых эксперты посыпают порошком и выявляют отпечатки пальцев, излучают электромагнитное поле, а потому могут повредить информацию в самом девайсе. Поэтому эксперты научились осторожно помещать девайсы в антистатические пластиковые пакеты, а затем отсылать их специалистам по цифровым технологиям. «Иногда их отсылают не в тот отдел, – говорит Ангус, – я видел, как мобильники попадали в отдел, занимающийся камерами видеонаблюдения, поскольку детективам нужны были фотографии. И хотя сейчас такое редко бывает, я видел, как полицейские подбирали мобильный телефон и начинали сами с ним возиться, чтобы выяснить его содержимое».
Итак, неповрежденный девайс попадает к специалистам по высоким технологиям. По словам Ангуса, «если речь не идет о деле первостепенной важности – например, убийстве или пропаже человека, девайс пролежит полгода на складе, ибо у нас и без него полно хлопот». В наши дни Ангус большей частью получает не автоответчики, принтеры и факсы, а компьютеры, смартфоны и планшеты. Эти небольшие девайсы хранят множество сведений о жизни человека (пусть и не все). Повредить их – значит нанести вред правосудию. Поэтому Ангус говорит: «Правило номер один – по мере возможности сохранять информацию». Кстати, это золотое правило всех экспертов, которые хотят, чтобы улики дожили до суда. На практике оно обычно означает, что содержимое девайса копируется, чтобы сохранить оригинал в неприкосновенности.
Понятие «компьютерная криминалистика» впервые было использовано в 1992 году в связи с извлечением данных из компьютеров в интересах уголовного расследования. Ангус вспоминает одно из своих первых дел: директор компании обвинил предыдущих директоров в мошенничестве и в качестве доказательства предоставил главный жесткий диск офиса. Но этот диск он отослал на две недели в починку, потом неделю хранил у себя дома и лишь затем отдал его в компьютерно-криминалистическую фирму. Ангус сообщил судье, что при таком раскладе сохранность свидетельств не вызывает доверия. Вдруг на одном из этапов этого сложного маршрута жесткого диска какие-то файлы добавили, изменили или заменили? Когда Ангус уже почти подъезжал к Йорку на своем пути в Лидский уголовный суд, ему позвонили: судья согласен с его мнением и отклоняет иск. Ангус вышел из поезда в Йорке, перешел на противоположную сторону платформы и отправился домой в Дарлингтон.
«Иногда приходится нарушать правило номер один, – говорит Ангус. – Содержимое последних айфонов и блэкберри скопировать практически невозможно. Для доступа к файловой системе нужно снять ограничения (сделать «джейлбрейк»). Отсюда правило номер два: если ты не можешь скопировать содержимое и собираешься внести изменения, четко продумай свои действия, чтобы впоследствии отчитаться за них. Имеет смысл делать заметки». Если исследователь по неосторожности откроет файл, время его открытия будет зафиксировано. Это затрудняет составление графика действий пользователя и, как не преминут указать адвокаты в суде, по существу меняет файл.
Располагая неповрежденной копией жесткого диска, Ангус смотрит с помощью специальных программ текущие и удаленные файлы. Подобно тому как детективы старой школы читали стертые карандашные записи, Ангус может восстановить и в компьютере, и в смартфоне все удаленные фотографии, видео и письма.
На мобильных телефонах Ангус смотрит СМС, набранные номера и пропущенные вызовы. Диалоги преступников иногда показывают, что они говорили друг другу во время преступления. Полезные сведения содержат и односторонние сообщения. Утром 18 июня 2001 года 15-летняя Даниэла Джонс ушла из дома в Ист-Тилбери (графство Эссекс) и не вернулась. Подозрения сразу пали на ее дядю Стюарта Кэмпбелла. Он был арестован, и полиция нашла у него на чердаке зеленую холщовую сумку с парой белых чулок, а на чулках – смесь его крови и крови Даниэлы.
Кэмпбелл уверял, что, когда Даниэла пропала, он был в получасе езды оттуда: в хозяйственном магазине в Рейли. Обследовав его мобильный телефон, полиция нашла сообщение, отправленное ему с телефона Даниэлы тем утром:
ПРИВЕТ СТЮ СПАСИБО ЗА ДОБРОТУ ТЫ
ЛУЧШИЙ ДЯДЯ НА СВЕТЕ!
СКАЖИ МАМЕ ЧТО Я ОЧЕНЬ
ИЗВИНЯЮСЬ ЛЮБЛЮ КРЕПКО
ДЭН ЦЕЛУЮ
Полиция навела справки у операторов мобильной связи. Оказалось, что во время отправки СМС мобильные телефоны Кэмпбелла и Даниэлы находились в радиусе действия одной сотовой вышки.
Специалист по лингвистике Малкольм Култард продемонстрировал в суде, что обычно Даниэла писала СМС строчными буквами. Еще в одном СМС, якобы посланном Даниэлой Кэмпбеллу, слово what («что») было сокращенно написано как wot, тогда как девушка обычно пользовалась другим сокращением: wat. Без сомнения, Кэмпбелл сам написал оба сообщения. И все же его обман не удался. Хотя поисковая операция стоимостью 1,7 миллиона фунтов, организованная эссекской полицией, не привела к обнаружению трупа, Кэмпбелл оказался за решеткой.
Сведения о том, где находились жертвы и подозреваемые во время преступления, весьма полезны для следствия. В нынешних айфонах и андроидах передвижения фиксируются по умолчанию, давая возможность четко указать, где находится (и находился!) смартфон. Правда, функцию определения местонахождения можно отключить, но многие этого не знают. В смартфоне iPhone 5S есть особый чип геолокации, способный работать на запасном питании. Пользователи сообщали, что их айфон продолжал отслеживать их движения даже спустя четыре дня после того, как отключался из-за разрядки батарейки. Компания Apple мотивирует это возможностью совершенствовать приложение «Карты» и подсказывать пользователям, что находится в окрестностях. Стоит ли говорить, что эти данные интересуют и полицию?
Ознакомительная версия. Доступно 15 страниц из 74