Электронная почта (E-mail, electron mail) — одно из приложений компьютерной сети для передачи писем, или, как говорят, «сообщений», в подавляющем большинстве неофициальных, которые заменяют сторонам телефонные переговоры, личные встречи, обычные бумажные письма, записки. Электронная почта может проходить по внутренней локальной сети Интранет организации, через глобальную сеть Интернет или по специальным каналам. Этим удобным сервисом пользуются миллионы людей во всем мире.
Помимо электронной почты существуют другие типы электронных сообщений, которые готовят и передают программы электронного обмена данными (Electron Data Interchange, EDI), программы, которые распределяют приказы, распоряжения, отчеты, счета по локальной сети организации и т. д. Письмо электронной почты отличается от подобных электронных сообщений тем, что зачастую отражает точку зрения автора, а не официальную позицию организации. Официальные письма организации тоже могут использовать технику связи электронной почты, но отправляются по особым процедурам.
Передаваемая по электронной почте информация занимает небольшую долю загрузки каналов связи Интернета — около 5 % так называемого трафика сети, но это самое популярное применение Интернета для коммуникации предпринимателей, служащих, граждан, простая и недорогая альтернатива традиционной письменной связи для делового общения, совместной работы сотрудников над документами, для личной переписки.
Электронная почта может пересылать в своих сообщениях не только простые тексты, но и вложения: документы с форматированным текстом, звуковую или графическую информацию (изображения, иллюстрации, фотографии, в том числе порнографического содержания), видеоинформацию (файлы цифрового видео), т. е. все виды информации, которые могут обработать компьютерные программы. Вложения помещаются в прикрепленных к сообщению файлах или реже — кодированными в тексте сообщения.
Доступность и скорость электронной почты определяет и частоту ее использования. Человек, начавший использовать электронную почту, меньше пишет обычных бумажных писем, заменяет записками почты переговоры по телефону с клиентами и знакомыми.
Можно сказать, что электронная почта изменила парадигму современного общения и его документирования, сместив ее в сторону электронной формы. Эта коммуникация применяется для деловой и личной переписки, которая может представлять криминалистически значимый интерес как свидетельство намерений, событий, фактов, документов. Электронная почта используется и в преступных целях: для координации криминальной деятельности, распространения материалов преступного содержания, мошенничества, шантажа, угроз и сексуального преследования, для рассылки вредоносных программ и вирусов, повреждающих компьютерную информацию.
В п. 2 Постановления Правительства РФ от 26 сентября 2000 г. «Об утверждении Правил оказания услуг почтовой связи»1 введено понятие «отправление электронной почты» — «сообщение, принимаемое от отправителя на бумажном или магнитном носителе, передаваемое электронным путем на расстояние, определяемое структурой и возможностями технических и сетевых средств, и доставляемое адресату воспроизведенным в физической или электронной форме».
Однако важно уточнить, что электронная форма не другая форма по отношению к физической, а всего лишь разновидность физической формы, и, собственно, любое сообщение, любая информация поступает к получателю в той или иной физической форме. Можно предположить, что слово «физический» было использовано, чтобы подчеркнуть «материальность» распечатки на бумаге в противовес кажущейся «нефизичности», «виртуальности» электронного представления письма. Но из-за подобного противопоставления возникает заблуждение о меньшем доверии к доказательности электронной формы как к чему-то нереальному.
Учитывая относительную новизну электронной почты как объекта криминалистического исследования, стоит подробнее остановиться на специфике сообщений электронной почты, на ее технологических особенностях как средства связи. По определению, обычная почта — один из видов связи (почтамты, узлы и предприятия связи), а также пересылаемые ею почтовые отправления (письма, посылки, периодические издания, денежные переводы).2 По аналогии можно определить электронную почту как вид электросвязи, применяющий сообщения, пересылаемые в цифровой форме с помощью компьютерных устройств, программных средств, сетевых технологий и предприятий по оказанию сетевых услуг (провайдеров сети).
Обратим внимание, что в международной терминологии электронная почта — один из каналов пересылки сообщений — более широкое понятие, чем письмо (message, англ. — сообщение, послание, письмо). «Сообщение данных» означает информацию, подготовленную, отправленную, полученную или хранимую с помощью электронных, оптических, магнитных или аналогичных средств, включая электронный обмен данными (EDI), электронную почту, телеграмму, телекс или телефакс, но не ограничиваясь ими.3
Современное сообщение электронной почты готовится чаще не «на бумажном или магнитном носителе», а набирается прямо с клавиатуры. В процессе такой подготовки сообщение видно только на экране монитора, а хранится оно в этот момент только во временной (оперативной) памяти компьютера, а не в долговременной памяти на магнитном носителе. Только после отправки сообщения с персонального компьютера на почтовый сервер организации или через модем к провайдеру сообщение может быть сохранено на носителе в компьютере отправителя. Но такое сохранение сообщения электронной почты на жесткий диск у отправителя не обязательно имеет место, например, оно отсутствует в режиме отправки письма через почтовый веб-сайт в Интернете или отправитель может сразу же удалить письмо со своего компьютера из почтовой программы.
Аналогичные возможности «получил, прочитал и сразу удалил» или «просмотрел и не сохранил» есть и у получателя сообщения электронной почты.
Хотя скрытность в письмах электронной почты не частое явление, но и прием, не требующий особых навыков. Только сохраненное письмо записано на жестком диске в файле среди других писем или как отдельный файл. Это создает проблемы обнаружения криминалистически значимой информации при расследовании преступлений.
Чтобы искать и исследовать сообщения электронной почты, необходимо знать принципы ее работы. Электронная почта может проходить по внутренней локальной сети организации (выходить или не выходить в Интернет), через телефонную сеть, глобальную сеть Интернет или по специальным каналам.
Коммутируемая связь компьютера через модем и телефонную линию выполняется по номеру телефона с модемом провайдера — поставщика услуг Интернета (точнее — с модемным пулом), а через сервер провайдера — в Интернет и к получателю. Такое удаленное модемное соединение (dial-up) применяют из дома и из небольших фирм.
Рабочий компьютер местной локальной сети осуществляет почтовую связь с сервером организации, который некоторое время накапливает корреспонденцию, а потом периодически отправляет через выделенную телефонную линию провайдеру Интернета, а от него к получателю. Так работает почта крупной компании, организации, вуза, банка. Если письмо отправлено по адресу с компьютера на компьютер по сети внутри организации, то оно не выйдет к провайдеру, а будет местным сервером доставлено сразу в почтовый ящик адресата.
Возможна связь через почтовый сайт в Интернете. Пользователь с какого-нибудь компьютера по одному из изложенных выше вариантов посещает страницу почтового сайта в Интернете, там, на сервере организует себе почтовый ящик. Для отправки и получения писем требуется заходить через Интернет на сайт для заполнения формы.
Во всех перечисленных вариантах почта поступает от компьютера отправителя не прямо на компьютер получателя, а на сервер электронной почты, где сохраняется на жестком диске. Почтовая машина, почтовый сервер (mail server) хранит пришедшее письмо в «ящике» до тех пор, пока письмо не загрузит себе компьютер получателя. Объем, срок хранения оговаривается в договоре или правилах использования, при этом по истечении определенного срока непрочитанная корреспонденция удаляется.
Особый вариант — электронная почта по прямой связи, прямая рассылка сообщений с компьютера отправителя через модем в телефонную линию прямо на номер телефона получателя и через его модем к нему на компьютер. Сообщение отправляется не на сервер, а непосредственно на компьютер получателя, если там в это время включен компьютер и модем. Перехватить такое сообщение можно только по телефонным каналам.
Помимо вариантов связи есть правила пересылки, доставки почты, они называются протоколами. Существуют два почтовых протокола. Чаще используется простой почтовый протокол SMTP («связался и послал»): почтовая программа на сервере отправителя находит по адресу сервер получателя почты, устанавливает с ним взаимодействие по сети и передает ему почту. Почта достигает почтового ящика получателя за несколько минут, а время получения сообщения зависит только от того, как часто получатель просматривает свой почтовый ящик. Второй протокол доставки — «передохнул и дальше». Почтовое сообщение передается по цепочке почтовых серверов от одной машины к другой, пока не достигнет машины получателя или не будет отвергнуто по причине отсутствия такового получателя. Способ позволяет доставлять почту по плохим телефонным каналам, так как не требует поддерживать линию в течение всего времени доставки от отправителя к получателю. Но возможен возврат сообщения через сутки после отправки из-за того, что допущена ошибка в имени пользователя.
В типичном режиме работы с почтовыми программами (например, Microsoft Outlook Express (наиболее распространенная), Netscape Messenger, The Bat! и др.) отправитель пишет письмо путем непосредственного набора с клавиатуры компьютера. Сервер-отправитель связывается с сервером-получателем и передает туда сообщение. Лицо, которому предназначается почта, забирает почту с сервера получателя (с сервера провайдера Интернета, сервера локальной сети или с почтового веб-сервера в Интернете).
Помимо бумажных распечаток (которые выполняются далеко не на всю электронную почту) местами обнаружения электронной почты могут быть:
— компьютер лица, отправляющего электронную почту;
— сервер-отправитель и сервер, получающий сообщения электронной почты;
— промежуточные сервера пересылки или посредники-ремейлеры (remailer);
— компьютер лица, который получил письмо;
— устройство резервирования данных (отдельный сервер организации или кассеты стримера у отправителя или получателя).
Если необходимо произвести выемку электронной почты из компьютера лица, отправляющего электронную почту, или ее адресата, это можно сделать путем изъятия самого компьютера или жесткого диска в ходе обыска или выемки. Обнаружить сообщения электронной почты можно на персональном компьютере отправки или получения, а также на компьютерах — почтовых серверах — на всем пути доставки-передачи. На почтовых серверах сообщения электронной почты хранятся ограниченное время (если не приняты специальные меры продолжительного хранения).
Наиболее распространенный способ работы с электронной почтой — применение почтовых программ (Microsoft Outlook Express, Netscape Messenger, The Bat и др.), которые ведут архив хранения отправленных и полученных сообщений электронной почты в папках (файлах) на жестком диске компьютера: для входящей и отправленной почтовой корреспонденции (Inbox и Sent). Сообщения (письма) хранятся до момента удаления их пользователем, однако даже после удаления тексты можно попытаться восстановить. Удаленные сообщения хранятся в папке удаленных писем (Deleted items, Trash, или Корзина почтовая), однако и оттуда их могут удалять-очищать папку. Это может сделать как сам пользователь, так и режим автоматического удаления, например по истечении определенного времени. Следует учитывать, что пользователь может переносить и хранить корреспонденцию и в других папках и файлах практически под любыми именами.
Согласно ч. 2 ст. 23 Конституции РФ каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Под иными сообщениями здесь на основе текста Федерального закона от 16 февраля 1995 г. «О связи» (с изменениями от 8 января и 17 июля 1999 г.) следует понимать информацию, хранимую, обрабатываемую и передаваемую по сетям электронной связи в виде последовательностей аналоговых или цифровых сигналов. Это могут быть факсимильные, компьютерные, пейджинговые, телерадиовещательные и другие сообщения, передаваемые по каналам электросвязи. Таким образом, тайна сообщений, передаваемых посредством обмена информацией между ЭВМ, также охраняется Конституцией РФ.
Действия по изъятию электронной почты, адресованной абоненту, у оператора связи, каковым является провайдер, фактически подпадают под выемку почтово-телеграфной корреспонденции.4 Поэтому наложение ареста на сообщения электронной почты, их осмотр и выемка должны осуществляться в соответствии со ст. 185 УПК РФ. Целями подобной выемки являются: получение доказательственной и иной информации, имеющей значение для дела; предотвращение обмена информацией определенных лиц между собой; обеспечение тайны следствия.
Если выемка электронной почты определенного лица или всей почты организации производится у оператора связи (на почтовом сервере отправителя или получателя), следует учитывать, что в договорах о предоставлении услуг коммутируемого доступа в Интернет обычно имеется пункт, согласно которому провайдер обязан предпринимать общепринятые в Интернете технические и организационные меры для обеспечения конфиденциальности информации, получаемой или отправляемой абонентом. Доступ третьим лицам к информации, получаемой или отправляемой абонентом, обеспечивается исключительно в соответствии с законами Российской Федерации.
Для того чтобы наложить арест на электронную почту, необходимо выяснить, услугами какого провайдера пользуется лицо, чья электронная корреспонденция подлежит аресту или выемке. Для этого нужно определить телефонный номер провайдера, с которым связывается абонент (для передачи электронных сообщений в России преимущественно используются телефонные каналы связи). Другим способом является направление запросов провайдерам, действующим в регионе, где проживает интересующее следствие лицо, о том, зарегистрирован ли на принадлежащем им сервере электронный почтовый ящик, осуществляются ли учетная запись (аккаунт) данного физического лица или почтовое обслуживание юридического лица.
Следует обратить внимание на то, что такой информацией владеют лишь операторы телекоммуникационных сетей и поставщики услуг Интернета.
Согласно ст. 32 Федерального закона «О связи» информация в почтовых отправлениях и передаваемых по сетям электрической связи сообщениях, а также сами эти отправления и сообщения могут выдаваться только отправителям и адресатам или их законным представителям. Прослушивание телефонных переговоров, ознакомление с сообщениями электросвязи, задержка, осмотр и выемка почтовых отправлений и документальной корреспонденции, получение сведений о них, а также ограничения связи допускаются только на основании судебного решения. Таким образом, законом защищены не только сообщения (их содержание), передаваемые по сетям электрической связи, но и информация (сведения) о них.
Между тем провайдеры, как правило, располагают данными об обмене сообщениями в прошлом, которые могут быть предоставлены с помощью оборудования, регистрирующего различные характеристики информационного обмена в файлах протоколов работы аппаратуры (время, размер сообщения, участвующие стороны, вид и количество предоставленных им услуг). Такие данные обычно хранятся непродолжительное время.5
Если в УПК РФ процедура получения судебного решения на ознакомление с сообщениями электросвязи регламентирована достаточно детально, то получение сведений об этих сообщениях еще предстоит урегулировать.6
Информацию о размещении почтового ящика на сервере также можно получить по адресу электронной почты пользователя, которая содержится в шапках официальных бланков юридического лица, на визитных карточках и т. д. Следует учитывать, что доступ к серверу провайдера абонент может получить с любого компьютера, имеющего модемный выход в телефонную линию, а не только с домашнего или служебного.
Структура адреса электронной почты зависит от вида, определяемого сетью, в которую отправляется письмо, — глобальная сеть Интернет, внутренняя сеть Интранет предприятия, учреждения, Фидонет (Fidonet — некоммерческий аналог Интернета, состоящий из множества компьютеров, управляемых инициативными владельцами, соединенных между собой модемами) и др.
В наиболее распространенной электронной почте Интернета и Интра-нета почтовый адрес состоит из частей, разделенных символом @ (символ «эт», или неофициально «собака»). В адресе электронной почты ktoto@provider.ru первая часть ktoto образует идентификатор почтового ящика или учетной записи, а вторая часть provider.ru представляет доменный адрес сервера нахождения электронного почтового ящика. Идентификатор может иметь любые английские буквы, в частности содержать имя, инициалы или фамилию пользователя в любом порядке следования, например, aivanov, клички (neo, angel, layer) и др. Имя почтового ящика, предоставляемого по договору на сервере провайдера или организации, согласовывается с администратором услуг. Нередко (но не обязательно) в качестве идентификатора почтовой записи устанавливается имя пользователя, используемое им при входе в компьютерную сеть организации.
Почтовые ящики, выделяемые по договору провайдером на его сервере, обычно находятся по месту нахождения провайдера.
При расположении почтового ящика на бесплатном или платном почтовом веб-сайте реквизиты владельца, как правило, указываются на главной веб-странице или в рубрике «О сайте». Главная (или стартовая) веб-страдах»., сайта — та, которая открывается первой после входа на сайт после ввода адреса, например, www.mail.ru.
Приняв решение о наложении ареста на электронную корреспонденцию и о ее выемке, следователь с согласия прокурора должен возбудить перед судом ходатайство о производстве данного следственного действия. Для этого следователь обязан вынести постановление о возбуждении перед судом ходатайства о наложении ареста на почтово-телеграфные отправления, электронную корреспонденцию и производстве осмотра и выемки.
В ходатайстве указываются (ст. 185 УПК РФ):
1) фамилия, имя, отчество и адрес лица, почтово-телеграфные отправления которого должны задерживаться (применительно к наложению ареста на электронную корреспонденцию, очевидно, следует указывать сведения, обеспечивающие идентификацию субъекта доступа к электронной корреспонденции и в информационную сеть, например, его учетную запись);
2) основания наложения ареста, производства осмотра и выемки;
3) виды сообщений электронной почты, подлежащие аресту (исходящие, входящие, с присоединенными файлами и т. п.);
4) наименование учреждения связи (провайдера), на которое возлагается обязанность задерживать соответствующие почтовые отправления.
По результатам рассмотрения представленных мотивированных материалов судья выносит постановление, разрешающее проведение данного следственного действия или отказывающее в этом. В случае принятия судом7 решения о наложении ареста на отправления электронной почты его копия направляется соответствующим организациям или лицам, предоставляющим услуги доступа в информационные сети, через которые доставляется электронная почта: провайдеру или администратору сети, которому поручается задерживать сообщения и незамедлительно уведомлять об этом следователя. Указанным лицам или организациям предлагается заблокировать доступ определенного субъекта и обеспечить сохранение адресованной ему электронной почты с сохранением режима конфиденциальности и целостности.8 Аналогичное распоряжение может быть отдано и относительно исходящей корреспонденции. Можно предложить задерживать только электронную корреспонденцию, поступающую с определенных серверов или от определенного лица.
Если возникают затруднения при наложении ареста на исходящую электронную корреспонденцию, можно попытаться установить адресата, с которым интересующее следствие лицо ведет переписку, и наложить арест на корреспонденцию, поступающую на имя этого адресата от данного лица.
Арест, осмотр, выемка и снятие копий с электронных сообщений производятся следователем по месту проживания лица, по месту его работы или в организации, предоставляющей услуги доступа в информационные сети с участием понятых. В необходимых случаях для участия в осмотре и выемке сообщений электронной почты следователь вправе вызвать специалиста, а также переводчика (ч. 5 ст. 185 УПК РФ). При выемке обычной почтово-телеграфной корреспонденции могут быть понятыми только работники почтово-телеграфного ведомства, от которых при приеме на работу отбирается обязательство о соблюдении тайны переписки в соответствии со ст. 23 и частью первой ст. 24 Конституции РФ. Однако с персонала, предоставляющего услуги компьютерной сети и электронной почты, в настоящее время такие обязательства не берутся ни в нашей стране, ни за рубежом. Более того, администрация организации и администрация ее компьютерной сети расценивает электронную почту как служебную переписку и по складывающейся традиции готова досматривать сообщения, опасаясь злоупотреблений использования служебной сети электронной почты в личных целях и экономического ущерба.9 Поэтому следователь должен убедиться, что понятые не имеют личного или служебного интереса в данном деле, и предупредить их об ответственности за разглашение материалов, с которыми они ознакомятся в ходе следственных действий.
В каждом случае осмотра отправлений составляется протокол, в котором указывается, кем и какие материалы электронной почты были подвергнуты осмотру, скопированы на бумажный, магнитный или оптический носитель, задержаны или отправлены адресату (в целях последующего проведения оперативно-розыскных мероприятий или следственных действий).
Следователь должен предупредить участников данного следственного действия о недопустимости разглашения без соответствующего разрешения ставших им известными данных предварительного расследования, о чем у них берется подписка с предупреждением об ответственности в соответствии со статьей 310 УК РФ.
В зависимости от складывающейся следственной ситуации и содержания задержанной электронной корреспонденции она может быть изъята путем копирования файлов электронного почтового ящика абонента на магнитные носители компьютерной информации (чистые дискеты, стример, переносной диск типа ZIP). Также следует сделать ее распечатку. Понятые расписываются на всех распечатках информации, изготовленных в ходе выемки, которые оформляются как приложения к протоколу следственного действия. Ход и результаты выемки оформляются протоколом, составляемым в соответствии с требованиями УПК РФ.
В соответствии с ч. 3. ст. 177 УПК РФ следователь вправе производить осмотр предметов и документов, обнаруженных в ходе выемки не только в месте производства следственного действия, но и по месту производства следствия, если для осмотра потребуется продолжительное время или осмотр на месте затруднен: большой объем почты, трудности перекодировки или расшифровки сообщений, отсутствие программ для просмотра сообщений и файлов вложений. В протоколе отмечается, какие сообщения скопированы на электронный носитель (дискету, записываемый компакт-диск, переносные носители большой емкости), указывается его внешний вид, способ упаковки, вид и текст оттиска печати. Можно изъять весь жесткий диск компьютера, если это не наносит существенного экономического ущерба деятельности предприятия, кассеты с лентами стримера, если на них резервировалась почта за определенный период.
Подробный осмотр и исследование изъятой корреспонденции проводятся по месту проведения следствия с участием понятых (по возможности тех же) и отражением в протоколе сохранности печати и удостоверительных подписей на упаковке, в которую были помещены машинные носители компьютерной информации.
В протоколе указываются данные так называемого служебного заголовка сообщения (от кого сообщение, кому, тема, дата, время отправки, получения), первые слова текста, последние фразы. Сообщения, важные для дела, можно распечатать на принтере с включением в распечатку его заголовочных данных. Но следует учитывать, что электронная форма полученного письма содержит более подробные служебные данные, чем распечатка: по ним иногда можно выяснить имя сервера (серверов) и провайдеров отправителя, получателя и на маршруте следования, название и версию почтовой программы на компьютере отправителя.
* Кандидат физ.-мат. наук, старший научный сотрудник, доцент, зав. кафедрой информатики Саратовской государственной академии права.
2 Большой энциклопедический словарь. М.; СПб., 1997.
3 Типовой закон ЮНСИТРАЛ об электронных подписях (принят в Вене 5 июля 2001 г. на 34-й сессии ЮНСИТРАЛ).
4 Российская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. М., 2001. С. 99.
5 Волеводз А. Г. Противодействия компьютерным преступлениям: правовые основы международного сотрудничества. М., 2002. С. 187.
6 Подобную процедуру целесообразно урегулировать в отдельной статье УПК.
7 Согласно ст. 10 Федерального закона «О введении в действие Уголовно-процессуального кодекса Российской Федерации» решение о наложении ареста на корреспонденцию и выемке ее в учреждениях связи до 1 января 2004 г. принимает прокурор.
8 Мещеряков В. Л. Основы методики расследования преступлений в сфере компьютерной информации: Автореф. дис. ...докт. юрид. наук. Воронеж, 2001. С. 35.
9 В США компаниям и организациям при эксплуатации электронной почты рекомендуется в трудовые соглашения и контракты заранее вносить пункт, предупреждающий сотрудников об отсутствии защиты тайны электронной переписки на рабочем месте (буквально — об отсутствии privacy, «приватности» электронной почты).
