Предшественником Интернета до середины 1990-х годов были электронные доски объявлений. Компьютерные фанаты использовали их, чтобы поболтать с собратьями о технических проблемах или получить совет относительно увлекшей их игры. Правда, уже тогда находились негодяи, пытавшиеся обратить чудеса техники во зло. Но большинство людей просто радовались новым возможностям. Хотя без технических познаний было не обойтись: многое приходилось выстраивать самостоятельно.
Однако мощь компьютеров росла не по дням, а по часам. А когда компания Microsoft выпустила Windows 95, всемирная сеть стала доступна всем. С этого момента полиция стала относиться к компьютерной криминалистике серьезно, осознав, подобно Ангусу, что «преступники обычно хорошо усваивают новые технологии». В 2001 году министр внутренних дел Джек Стро учредил Британский национальный отдел по борьбе с преступлениями в сфере высоких технологий. Он заявил: «Новые технологии приносят огромную пользу законопослушному пользователю, но открывают и двери преступникам – от мошенников до педофилов». Отдел взялся за расследование как преступлений вроде хакерства, возможных благодаря цифровой революции, так и обычных преступлений (скажем, домогательства), совершение которых облегчилось с появлением Интернета.
В 2006 году национальный отдел заменили сетью региональных. В наши дни старший следователь решает, нужно ли просить помощи у специалиста по высоким технологиям. «Здесь как с ДНК, – объясняет Ангус, – если есть показания очевидцев, отпечатки пальцев и все такое, зачастую нет нужды в дорогостоящей экспертизе. Но если речь идет о домогательствах, преследовании или попытках склонить ребенка к сексу, без компьютерщиков не обойтись». Если у специалистов подразделения не хватает ресурсов или опыта для изучения цифровой информации, старший следователь зовет независимых специалистов вроде Ангуса. К этому моменту «рутинная работа обычно уже закончена. Следователи же хотят, чтобы им немедленно ответили на сложные вопросы. Приходится импровизировать, изобретать новые методы».
Вот, что было в недавнем деле о педофилии. Обвиняемому – назовем его Дэвид – вменялось растление малолетних. Защищаясь, он попытался дискредитировать 14-летнюю падчерицу («Сару»), главного свидетеля. Мол, это не с ним у нее были сексуальные отношения, а с мальчишками, с которыми она вела грязную переписку в «Фейсбуке». А доказательство – данные кейлогера: программы для перехвата информации, вводимой с клавиатуры. (Эту программу Дэвид установил на компьютер Сары.) Всякий раз, когда Сара печатала или кликала «мышкой», кейлогер делал скриншот (снимок экрана). Время от времени Дэвид скачивал эти скриншоты. И предъявил суду непристойный чат между Сарой и ее приятелем «Фредом». Но оба подростка отрицали факт переписки.
Ангус чаще исследует компьютеры подозреваемых, чем компьютеры жертв. Но лучший способ подтвердить или опровергнуть слова Дэвида состоял в изучении компьютера Сары. Чата с Фредом Ангус не нашел, но это ничего не значило. «Обычно "Фейсбук" не оставляет следов на жестких дисках. Все происходит в браузере», – объясняет Ангус. В компьютере и впрямь был установлен кейлогер, но скриншоты грязной переписки отсутствовали. Однако и это не показательно: когда скриншотов накапливается слишком много, кейлогеры уничтожают часть из них, чтобы не перегружать жесткий диск.
Однако сам «Фейсбук» сохраняет чаты, даже если пользователи стерли их. Не запросить ли у него историю чатов Сары и Фреда? Однако такой запрос могли расценить как попытку «перехвата информации» и «скрытого наблюдения». Значит, чтобы получить на него ответ, ему требовались полномочия на основании Закона о следственных органах (2000 год). Но это – минимум полгода ожидания.
Ангус спросил у Сары пароль и вошел в ее аккаунт в «Фейсбуке». Там тоже не было следов переписки с Фредом. Конечно, переписку могли удалить. Но чего Сара не могла сделать, так это бесследно удалить кого-либо из списка «друзей». Ангус не нашел Фреда ни в «друзьях», ни в «удаленных друзьях», ни в «запросах на добавление в друзья». Затем Ангус зашел в «Фейсбук» с аккаунта Фреда и опять же не нашел ни переписки с Сарой, ни следов их взаимного пребывания в «друзьях». Правда, в аккаунте Сары нашлись другие, более умеренные разговоры с приятелями, по которым Дэвид предоставил скриншоты. Но создавалось впечатление, что Дэвид поместил поддельные скриншоты среди настоящих.
И все же Ангус знал: отсутствие доказательств не есть доказательство отсутствия. И в отчете для суда написал, что гарантии дать не может. Теоретически Сара и Фред могли вести нескромную переписку в каких-то неизвестных аккаунтах, с виду идентичных основным аккаунтам. Но Дэвид, неплохой фотограф-любитель, вполне мог и подделать скриншоты. Для понимания ситуации требовалось изучить компьютеры Дэвида: не манипулировал ли он скриншотами через программу редактирования изображений?
Судье пришлось принимать решение. Продолжать ли судебный процесс? Или отложить заседание, а присяжных изолировать на неделю, пока Ангус обследует компьютеры? Он решил продолжать. Присяжные выслушали все показания жертв и выкладки Ангуса. Ангус высказывался очень осторожно (и подчеркнул, что стопроцентных доказательств нет), но его показания были расценены как лишний аргумент в пользу того, что Дэвид – лжец и манипулятор. Посовещавшись, присяжные нашли Дэвида виновным. В настоящее время он отбывает 20-летний срок в тюрьме.
Как видно из случая с кейлогером, чем больше людей, пользующихся все большими возможностями компьютера, тем труднее криминалистам делать свое дело. В некоторых видах экспертизы возможен четкий ответ (скажем, на вопрос «кому из двух людей принадлежит эта кровь?»). Коллеги Ангуса же должны выносить суждение о подлинности данных, выстраивать графики сетевой и внесетевой деятельности, оценивать надежность алиби. Здесь необходима «золотая середина» между воображением и строгостью.
Ангус любит свою работу, поскольку в ней есть интеллектуальный вызов. «Всегда узнаешь что-то новое. Не тянешь лямку день за днем, а решаешь проблемы». Труднее всего смириться с ситуацией, когда расследование ничего не дает. «Не знаю никого в нашем деле, кто останавливается, не получив результатов. Ты делаешь попытки снова, снова и снова, так как что-то должно быть, всегда что-то есть. Нелегко признать, что ты сделал все возможное и уперся в стену».
Чтобы взяться за дело, Ангусу нужен материал. А достать его – подчас головная боль. «Мы не можем ворваться в офис и перетряхнуть компьютеры всех сотрудников, чтобы добраться до одной паршивой овцы. Необходимо действовать адекватно». Добыть для Ангуса материал – дело полиции. А полиции нужен ордер на обыск, чтобы получить право конфисковать цифровые девайсы из гостиной подозреваемого или из его кармана брюк.
Когда девайс находят на месте преступления, он часто несет на себе отпечатки пальцев и следы ДНК. Однако магнитные кисти, с помощью которых эксперты посыпают порошком и выявляют отпечатки пальцев, излучают электромагнитное поле, а потому могут повредить информацию в самом девайсе. Поэтому эксперты научились осторожно помещать девайсы в антистатические пластиковые пакеты, а затем отсылать их специалистам по цифровым технологиям. «Иногда их отсылают не в тот отдел, – говорит Ангус, – я видел, как мобильники попадали в отдел, занимающийся камерами видеонаблюдения, поскольку детективам нужны были фотографии. И хотя сейчас такое редко бывает, я видел, как полицейские подбирали мобильный телефон и начинали сами с ним возиться, чтобы выяснить его содержимое».
Итак, неповрежденный девайс попадает к специалистам по высоким технологиям. По словам Ангуса, «если речь не идет о деле первостепенной важности – например, убийстве или пропаже человека, девайс пролежит полгода на складе, ибо у нас и без него полно хлопот». В наши дни Ангус большей частью получает не автоответчики, принтеры и факсы, а компьютеры, смартфоны и планшеты. Эти небольшие девайсы хранят множество сведений о жизни человека (пусть и не все). Повредить их – значит нанести вред правосудию. Поэтому Ангус говорит: «Правило номер один – по мере возможности сохранять информацию». Кстати, это золотое правило всех экспертов, которые хотят, чтобы улики дожили до суда. На практике оно обычно означает, что содержимое девайса копируется, чтобы сохранить оригинал в неприкосновенности.
Понятие «компьютерная криминалистика» впервые было использовано в 1992 году в связи с извлечением данных из компьютеров в интересах уголовного расследования. Ангус вспоминает одно из своих первых дел: директор компании обвинил предыдущих директоров в мошенничестве и в качестве доказательства предоставил главный жесткий диск офиса. Но этот диск он отослал на две недели в починку, потом неделю хранил у себя дома и лишь затем отдал его в компьютерно-криминалистическую фирму. Ангус сообщил судье, что при таком раскладе сохранность свидетельств не вызывает доверия. Вдруг на одном из этапов этого сложного маршрута жесткого диска какие-то файлы добавили, изменили или заменили? Когда Ангус уже почти подъезжал к Йорку на своем пути в Лидский уголовный суд, ему позвонили: судья согласен с его мнением и отклоняет иск. Ангус вышел из поезда в Йорке, перешел на противоположную сторону платформы и отправился домой в Дарлингтон.