Как детектив подделал доказательство: история одного протокола. Часть 1
"Липа" має пахнути дубом" – ці слова належать старому слідчому військової прокуратури, у якого я мав університетську практику на 2 курсі. Це був 2009 рік і мій керівник практики розслідував службове підроблення в одній з військових частин Києва, де один не зовсім розумний майор вносив неправдиві відомості про використання пального.
Я згадав слова цього слідчого у 2022 році, коли в моїх руках опинився дуже цікавий протокол НСРД. Тут варто зробити крок назад та пояснити тим, у кого немає правничого диплому, що це за абревіатура. НСРД – це негласні слідчі (розшукові) дії, так звані "негласки". Ці інструменти використовують слідчі та детективи для збору доказів під час розслідування тяжких та особливо тяжких злочинів: стеження, прослуховування телефонних розмов, прихований аудіо/відеозапис, зняття інформації з електронної пошти, месенджерів, хмарних сервісів тощо.
Успіх та ефективність НСРД залежить від літери "Н" у цій абревіатурі, тобто від негласності. Для того, щоб людина не здогадалася, що відносно неї проводиться НСРД існують так звані "форми та методи НСРД". Вони дозволяють провести "негласку" дійсно приховано від особи. А для того, щоб "негласки" не були одноразовими, форми та методі НСРД засекречені – це державна таємниця, яка охороняється законом.
Тобто, вам ніколи не розкажуть як, наприклад, відбувається стеження на вулиці: скільки та які ресурси задіюються, які є методи стеження, як людину "передають" між собою тощо. І це правильно, бо якщо ця інформація була відкрита, то "негласки" б не мали жодного сенсу та корисної дії.
Але є "але". Помилковою є думка, що "негласки" не залишають слідів. Будь-яка НСРД залишає сліди, нехай навіть мікроскопічні, мінімальні, але залишає. Наприклад, якщо в кабінеті був встановлений прихований пристрій аудіо/відео фіксації, то технічний спеціаліст може знайти сліди такого встановлення. Тому, поняття "негласність" не є тотожним поняттю "безслідність". Так, під час або після проведення НСРД особа може і не здогадуватися про такі дії, однак якщо цілеспрямовано шукати, то сліди безумовно знайдуться, їх не може не бути.
Одним з різновидом НСРД є "зняття інформації з інформаційних електронних систем" – це коли слідчий/детектив з дозволу суду отримують доступ до електронних листувань та іншої інформації, якою ти обмінюєшся через електронні системи: електронної пошти, месенджерів, хмарних сховищ тощо. Ця НСРД працює з "цифрою", а отже наслідити може найбільше з усіх інших "негласок". Адже у комп’ютерів та Інтернету неможливо побувати без того, щоб залишити цифровий слід – дані.
Повернемося до протоколу. Про що він? Детектив у цьому протоколі стверджує, що у 2020 році отримав дозвіл судді, після чого зайшов у хмарне сховище iCloud певної особи та за допомогою спеціальних програм компанії Elcomsoft, вивантажив з iCloud резервні копії мобільних пристроїв, серед яких знайшов резервну копію листування у WhatsApp за 2015-2016 роки.
Довідково: iCloud — це сервіс Apple, який зберігає ваші фотографії, файли, нотатки, резервні копії й інші дані в хмарному сховищі й автоматично підтримує їх в актуальному стані на всіх ваших пристроях.
Перше, що впадає в очі – у розпорядженні детектива був тільки ідентифікатор користувача iCloud, тобто його адреса електронної пошти та більше нічого. Самі мобільні пристрої користувача iCloud були в нього та ніким не вилучалися.
Будь-який користувач сервісу iCloud знає, що просто так взяти і увійти в чужий iCloud "з ноги" неможливо. Це не обшук. Для входу необхідно пройти двофакторну автентифікацію. Тобто, після того, як вводиш логін (адресу електронної пошти), ти маєш ввести пароль, а потім ще підтвердити вхід на своєму пристрої, який підв'язаний до iCloud (довірений пристрій).
Отже, навіть якщо ти маєш і електронну пошту і, припустимо, навіть пароль, то треба ще ввести додатковий код, який в момент входу прийде на довірений пристрій або мобільний номер телефону. Тому перевірка і називається двофакторна.
Тож для входу детективу недостатньо було мати адресу електронної пошти. І паролю було б недостатньо. Для успішного входу детектив мав мати хоча б одну з двох речей: доступ до довіреного пристрою або доступ до підв’язаного мобільного номеру телефону. Ось тут виникають перші сумніви: "А чи був хлопчик"?.
Починаємо перевіряти. Перше, що треба встановити, це довірені пристрої та номер мобільного телефону у період сумнівної НСРД, а також чи діяла двофакторка і, чи зафіксовані будь-які входи в iCloud в цей час.
Для такої перевірки навіть не потрібно бути експертом у галузі комп’ютерно-технічної експертизи. Ми можемо не любити таких технологічних гігантів як Apple за збір наших даних, проте у такому випадку як цей ці дані корисні.
Що ми встановили? Що двофакторка діяла з 2016 року і користувач iCloud ніколи її не вимикав. Ми встановили перелік довірених пристроїв у період нібито НСРД – детектив до них доступу не мав та не вилучав. Ми встановили підв’язаний номер телефону у той період – це номер іспанського оператора, детектив не міг поставити його на прослуховування та перехопити повідомлення з кодом підтвердження входу. Ми встановили, що не зафіксовано сторонніх входів в iCloud у період нібито НСРД, чого бути не може. Apple фіксує всі входи, незалежно від того, чи ти власник, ви третя особа чи навіть детектив правоохоронного органу. Отже, насправді детектив в iCloud не входив і не міг увійти.
Друге, перевіряємо чи можливо було у 2020 році скачати з iCloud резервну копію мобільного пристрою з листуванням за 2015-2016 роки, тобто 4-5-річної давності.
Для цього також достатньо інформації з відкритих джерел, а саме політик Apple по збереженню резервних копій неактивних пристроїв. Ці політики передбачають зберігання в iCloud бекапів неактивних телефонів не більше ніж 180 днів, після цього вони видаляються з хмари навічно.
Зі звіту Apple стало очевидно, що пристрої, резервні копії яких могли містити листування WhatsApp за 2015-2016 роки, перестали бути активними у 2016 році, а отже їх резервні копії зберігалися максимум до 2017, тобто за три роки до НСРД вони канули з iCloud у небуття. Єдина технічна можливість детектива скачати резервні копії цих пристроїв три роки потому в 2020 році – це візити Марті Макфлая на машині часу.
Третє, детектив згадує у протоколі такі версії програм Elcomsoft як Elcomsoft eXplorer for WhatsApp Registered Standard Edition Version 2.76 bulid 36327 та Elcomsoft Phone Viewer Registered Forensic Edition Version 5.10 bulid 36812. Чи можливо за допомогою таких програм безперешкодно вивантажити та відкрити резервні копії мобільних пристроїв з iCloud? Важливий та очевидний факт: операційна система пристроїв Apple змінюється, версії застосунку WhatsApp також змінюються, тому з кожною новою версією iOS та кожною новою версією WhatsApp виробнику подібного спеціалізованого софту необхідно шукати нові технічні рішення та оновлювати свої програми також. Тому, робимо максимально просту вправа зі звіту Apple дивимося які пристрої та з якою версією iOS зберігали свої резервні копії в iCloud у період сумнівної НСРД та яка версія WhatsApp була актуальною на той час. І ось яка дивина - версії софту, які вказав детектив технічно не могли дозволити йому зробити те, що він написав у протоколі.
Отже, ще без судових експертиз до огляду карти пам’яті – додатку до протоколу, я та інші адвокати у справі встановили чотири важливих та самодостатніх факти, які дозволяють стверджувати, що насправді НСРД не було:
- Немає слідів входу;
- Детектив не міг подолати двофакторку, оскільки не мав доступу ні до довірених пристроїв, ні до підв’язаного іспанського номеру телефону;
- Незалежно від доступу, у 2020 році не могли в iCloud зберігатися резервні копії з мобільних пристроїв, які перестали бути активними у 2016 році, і резервні копії яких автоматично видалилися у 2017 році;
- Вказані у протоколі версії програм Elcomsoft технічно не дозволяють зробити те, що детектив описує в протоколі.
Повторюсь, кожен з цих фактів є самодостатнім і мав би бути достатнім для того, щоб адекватний слідчий суддя як мінімум засумнівався в допустимості та достовірності протоколу і почав ставити питання детективу та прокурору у справі.
Чому ця історія важлива?
Тому що у будь-який правоохоронний орган стабільно стікається купа незаконно здобутого листування та іншої інформації та дуже часто зі зміненим змістом, автентичність якого перевірити неможливо. Цю інформацію використовували виключно як оперативну та перевіряли шляхом реальних слідчих дій. Жодному адекватному слідчому/детективу ніколи навіть думка не приходила в голову взяти незрозуміло що та видати це під виглядом НСРД, якого насправді не було. Не приходило в голову бо, перше, це кримінал – службове підроблення та штучне створення доказів обвинувачення, друге – це ризик пустити коту під хвіст усю справу та роботу колег, третє – це величезний репутаційний ризик для інституції, у якій такий детектив працює. Тому детективу треба відчувати себе у максимальній гарантованій безпеці, щоб на таке піти.
І якщо на такі дії закриває очі прокурорський та судовий контроль, то ми відкриваємо дуже небезпечний ящик Пандори. У цьому випадку небажання прокурорів та суддів бути вірним вищий цінності – правді дає всім іншим правоохоронцям дуже небезпечний сигнал "підробляйте докази, прикривайтеся "форма та методами" НСРД, а ми прикриємо вас".
У наступній частині я розкажу, як всі ці висновки підтвердили українські судові експерти та визнані міжнародні експерти у галузі кібербезпеки, як цей протокол змусив слідчого суддю винести окрему ухвалу про заходи реагування на керівництво детектива, після чого апарат суду вручну викинув суддю із провадження, як детектив, прокурор, їх керівництво та внутрішній контроль пів року не можуть ні підтвердити, ні спростувати факти, які встановив захист, позаяк детектив-спеціаліст "спалився" при огляді карти пам’яті та під час відповідей на питання адвокатів.
А поки цю частину хочу завершити ще однією фразою того самого старого слідчого з мого студентського життя: "Артеме, юрист – він шпигун, проколюється на дрібницях".
Артем Крикун-Труш
