Цифровая криминалистика «основывается на [принципах криминалистики, таких как] принцип обмена [Эдмона] Локара» (Albert and Venter, 2017, p. 24), который утверждает, что «когда объекты и поверхности вступают в контакт друг с другом, происходит перекрестный перенос материалов» (Maras and Miranda, 2014, pp. 2-3). В контексте цифровой криминалистики люди, после использования информационно-коммуникационных технологий (ИКТ), оставляют цифровые следы (Albert and Venter, 2017). В частности, лицо, использующее ИКТ, может оставить цифровые отпечатки, т.е. данные, оставленные пользователями ИКТ, которые могут раскрыть сведения о них, включая информацию о возрасте, половой, расовой и этнической принадлежности, гражданстве, сексуальной ориентации, мыслях, предпочтениях, привычках, хобби, истории болезни и проблемах здоровья, психологических расстройствах, статусе занятости, принадлежности к какому-либо сообществу, отношениях, геолокации, распорядке дня и прочей активности. Такие цифровые отпечатки могут быть активными или пассивными. Активный цифровой отпечаток создается данными, предоставляемыми пользователем, такими как персональные данные, видео, изображения и комментарии, размещаемые в приложениях, на вебсайтах, электронных досках объявлений, в социальных сетях и других онлайн-форумах. Пассивный цифровой отпечаток – это данные, которые непреднамеренно оставляют люди, пользующиеся Интернетом и цифровыми технологиями (например, история просмотров в браузере). Данные, которые являются частью активных и пассивных цифровых отпечатков, могут использоваться в качестве доказательства совершения преступления, в том числе киберпреступления (т.е. в качестве цифровых доказательств). Такие данные могут также использоваться для доказательства или опровержения утверждения о факте; подтверждения или опровержения показаний потерпевшего, свидетеля и подозреваемого; и/или определения причастности или непричастности подозреваемого к совершению преступления.
Данные хранятся в цифровых устройствах (например, компьютерах, смартфонах, планшетах, телефонах, принтерах, «умных» телевизорах (Smart TV) и любых других устройствах, которые имеют цифровую память), внешних запоминающих устройствах (например, внешних жестких дисках и USB-флеш-накопителях), сетевых компонентах и устройствах (например, маршрутизаторах), серверах и облачном хранилище данных (где данные хранятся «в нескольких центрах данных в различных географических точках»; УНП ООН, 2013, стр. xxvi). Извлекаемые данные могут представлять собой данные, относящиеся к контенту (т.е. слова в письменных сообщениях или произнесенные слова в аудиофайлах; например, видео, текст электронных писем, текстовые сообщения, мгновенные сообщения и содержание социальных сетей), и данные, не относящиеся к контенту, или мета-данные(т.е. данные о содержании; например, личность и местоположение пользователей и данные об операциях, такие как информация об отправителях и получателях телекоммуникационных и электронных сообщений).
Данные, получаемые в режиме онлайн и/или извлекаемые из цифровых устройств, могут содержать большое количество информации о пользователях и событиях. Например, игровые приставки, которые работают как персональные компьютеры, хранят личную информацию о пользователях устройств (например, имена и адреса электронной почты), финансовую информацию (например, данные кредитной карты), информацию об истории посещений Интернета (например, о посещенных вебсайтах), изображения, видео и другие данные. Данные, извлеченные из игровых приставок, использовались при расследовании дел, связанных с сексуальной эксплуатацией детей и размещением в Интернете материалов со сценами сексуального насилия над детьми (Read et al., 2016; Conrad, Dorn, and Craiger, 2010) (эти киберпреступления дополнительно рассматриваются в модуле 12 серии модулей по киберпреступности: «Киберпреступления против личности»). Еще одним цифровым устройством, которое накапливает значительный объем данных о его пользователях, является Amazon Echo (с голосовым помощником Alexa). Данные, накапливаемые этим устройством, могут содержать ценные сведения о пользователях/владельцах, такие как информация об их интересах, предпочтениях, запросах, покупках и прочих видах активности, а также об их местонахождении (чтобы, например, определить, находятся ли они дома или вне дома, путем просмотра меток времени и аудиозаписи взаимодействий с речевым помощником Alexa). Данные, извлеченные из Amazon Echo, использовались в Соединенных Штатах Америки при расследовании дела об убийстве. Хотя обвинения против подозреваемого были в конечном итоге сняты, это дело наглядно продемонстрировало, что данные, собираемые с использованием новых цифровых технологий, неизбежно будут представлены в суде в качестве доказательства (Maras and Wandt, 2018).
Данные могут добываться и использоваться в целях получения оперативно-розыскных сведений (для получения дополнительной информации см. UNODC 2011 Criminal Intelligence Manual for Analysts (УНП ООН, 2011 год, «Оперативная информация о преступной деятельности: пособие для аналитиков»)) и/или могут представляться в суде в качестве цифровых доказательств. В последнем случае цифровые доказательства могут служить прямыми доказательствами путем «установления факта» либо косвенными доказательствами путем «выведения заключения об истинности данного факта» (Maras, 2014, pp. 40-41). Рассмотрим следующий гипотетический случай: материал расистского содержания был опубликован от имени учетной записи в Twitter (Учетная запись A). Прямым доказательствомявляется тот факт, что Учетная запись A была использована для публикации расистского материала. Косвенным доказательством является тот факт, что материал был размещен владельцем учетной записи. Для того чтобы доказать, что владелец учетной записи опубликовал этот материал, необходимо получить дополнительные подкрепляющие доказательства (как показано в модуле 6 серии модулей по киберпреступности: «Практические аспекты расследования киберпреступлений и цифровой криминалистики», установление личности исполнителя киберпреступления является нелегкой задачей).
Прежде чем цифровые доказательства могут быть представлены в суде в качестве прямых или косвенных доказательств, их необходимо аутентифицировать (т.е. необходимо показать, что доказательства соответствуют предполагаемой цели). Для наглядной демонстрации практики аутентификации рассмотрим следующие общие категории цифровых доказательств: контент, генерируемый одним или несколькими лицами (например, текст, электронное письмо или мгновенное сообщение и документы текстового редактора, такого как Microsoft Word); контент, генерируемый компьютером или цифровым устройством без участия пользователя (например, журналы регистрации данных), который считается одной из форм вещественного доказательства, например, в Соединенном Королевстве (см. дело Regina (O) v. CoventryMagistratesCourt, 2004); и контент, генерируемый одновременно пользователем и устройством (например, динамические таблицы в таких программах, как Microsoft Excel, которые включают в себя данные, вводимые пользователем, и расчеты, осуществляемые программой). Контент, генерируемый пользователем, может считаться допустимым доказательством, если он является достоверным и правдоподобным (т.е. можно установить его принадлежность к какому-либо лицу). Контент, генерируемый устройством, может считаться допустимым доказательством, если можно доказать, что устройство функционировало должным образом в момент генерирования данных, и если можно показать, что в момент генерирования данных действовали механизмы обеспечения защиты для предотвращения изменения данных. В случаях, когда контент генерируется одновременно устройством и пользователем, необходимо установить достоверность и правдоподобность каждого из них.
По сравнению с традиционными доказательствами (например, бумажными документами, оружием, контролируемыми веществами и т.д.), цифровые доказательства создают уникальные сложности при аутентификации из-за объема доступных данных, их скорости (т.е. скорости, с которой они создаются и передаются), неустойчивости (т.е. они могут быстро исчезнуть при перезаписи или удалении) и уязвимости (т.е. их легко можно обработать, изменить или повредить). В то время как одни страны внедрили нормы доказательственного права, включающие в себя требования в отношении аутентификации, которые конкретно относятся к цифровым доказательствам, другие страны для аутентификации традиционных доказательств и цифровых доказательств используют схожие требования. Во Франции, например, как бумажные, так и электронные документы должны аутентифицироваться путем проверки личности создателя документов и целостности документов (Bazin, 2008). Проверка целостности документов означает не только проверку их точности, но и способности сохранять точность (т.е. непротиворечивость) с течением времени. Более того, для того чтобы унифицировать режимы обращения с нецифровыми и цифровыми доказательствами, Сингапур внес поправки в нормы доказательственного права, приняв Закон о доказательствах (с поправками) 2012 года, чтобы обеспечить одинаковую практику аутентификации для нецифровых и цифровых доказательств.
В дополнение к определению подлинности цифровых доказательств, многие страны также проводят оценку того, является ли полученное доказательство наилучшим доказательством (т.е. подлинным доказательством или точной копией подлинного доказательства), и/или может ли оно быть допустимым в соответствии с исключениями из требований соблюдения запрета на показания с чужих слов (т.е. заявлений, сделанных вне суда) (Biasiottie et al., 2018; Kasper and Laurits, 2016; Alba, 2014; Duranti and Rogers, 2012; Goode, 2009). В качестве примера можно привести Танзанию (Закон о доказательствах 1967 года, Закон о письменных законах (с различными поправками) 2007 года и Закон об электронных операциях 2015 года); Белиз (Закон об электронных доказательствах 2011 года); Индонезию (Закон №.11 от 2008 года об электронной информации и операциях и Постановление правительства №.82 от 2012 года); Малайзию (Закон о доказательствах 1950 года); Индию (Закон об информационных технологиях 2000 года); Сингапур (Закон о доказательствах (с поправками) 2012 года) и другие страны.
Кроме того, оценка подлинности цифровых доказательств также предполагает изучение процессов, методов и инструментов, использованных для сбора, получения, сохранения и анализа цифровых доказательств, чтобы убедиться в том, что данные не были изменены каким-либо образом. Эти процессы, методы и средства рассматриваются в следующих разделах данного модуля.