– на рабочем месте преступника (стационарный компьютер, ноутбук, носители цифровой информации, средства связи, записи и пр.);

– на месте происшествия (например, в компьютерной системе, подвергшейся атаке);

– в сетевых ресурсах преступника (в рамках локальных или глобальной сети);

– в каналах связи преступника (сетевой трафик);

– в легальных сетевых ресурсах, используемых в преступной деятельности (почтовых серверах, вычислительных мощностях провайдеров хостинга, ресурсах провайдера по предоставлению доступа в Интернет и пр.).

Цифровые следы существуют в виде дамп оперативной памяти и дамп трафиков, файлы и их обрывки, создаваемая программными и аппаратным средствами их получения служебная информация об этих файлах, располагающиеся на материальных носителях информации в виде цифровых кодированных последовательностей123. Наиболее распространенная их форма – лог-файлы. Лог – это журнал автоматической регистрации событий в рамках какой-либо программы или сети. Почти любое действие в рамках информационной системы может отражаться в лог-файле124. Их источниками в сетевых ресурсах сети Интернет могут быть:

1) провайдеры хостинговых услуг: в частности, лог-файлы подключений к сетевому ресурсу и статистические данные учета сетевого трафика, свидетельствующие о сетевой активности пользователей;

2) цифровые копии содержимого серверов и облачных хранилищ данных125.

Однако, как подчеркивает А. И. Семикаленова, такая информация доступна для восприятия человека только посредством использования специализированных программных и аппаратных средств, осуществляющих декодирование и визуализацию в привычной графической, текстовой или звуковой форме, и могут быть получены и интерпретированы в полном объеме и без изменения содержания только с использованием специальных знаний126.

Изучение лог-файлов подключений к серверу позволяет выявить сетевые адреса пользователей ресурса, установить их личности в том случае, если пользователем не были применены техники, позволяющие анонимизировать его в Сети. В ходе исследований копий содержимого серверов и облачных хранилищ могут быть найдены экземпляры использовавшихся злоумышленником вредоносных программ, сетевые реквизиты пользователей (например, данные учетных записей, IP-адреса подключений, адреса других серверов сетевой структуры). Именно эта информация поможет установить, например, сетевые адреса серверов, с которых распространялись или управлялись вредоносные программы, форумов для общения компьютерных преступников, виртуальных обменных и платежных систем.

При исследовании цифровых следов в сети В. Б. Вехов предлагает введение термина «дорожка электронных следов», аналогично трасологическим, которая обозначает систему образования следов в информационно-телекоммуникационных сетях, состоящую из нескольких последовательно расположенных по времени и логически взаимосвязанных записей о прохождении компьютерной информации по линиям связи через коммутационное оборудование оператора(–ов) связи от компьютера преступника до компьютера потерпевшего127. На наш взгляд, такая интерпретация вполне логична и оправданна.

Несмотря на большое разнообразие способов совершения преступлений в сфере компьютерной информации, источники криминалистически значимой информации будут примерно одни и те же при любом из них. В частности, это будут разного рода идентификаторы, позволяющие установить конкретное устройство или точку соединения (например, IP или MAC128 адреса, IMEI129, ICCID130 и др.), лог-файлы, данные, предоставляемые провайдерами (например, сетевой трафик и его статистика, сведения о соединениях, лог-файлы подключений и пр.), и данные, содержащиеся на носителях и непосредственно воспринимаемые следователем (фото, видео, текстовые файлы, переписки, установленные программы и приложения и пр.).

К стандартным местам их нахождения относятся:

а) постоянное и оперативное запоминающее устройства компьютера;

б) оперативные запоминающие устройства периферийных устройств;

в) внешние носители цифровой информации (например, флеш-карты, съемные жесткие диски и пр.);

г) сервера (локальных или глобальной сети);

д) облачные хранилища.

Не умаляя значения цифровых следов, при расследовании преступлений в сфере компьютерной информации не стоит забывать и о традиционных – трасологических, биологических и пр., месторасположение которых обусловлено механизмом их следообразования.

Способ совершения преступления и личностные характеристики субъекта находятся в неразрывной связи с иными обстоятельствами, подлежащими доказыванию, являющимися элементами криминалистической характеристики – личностью потерпевшего, обстановочными факторами (местом, временем и др.).

Виктимологический аспект является важной составляющей криминалистической характеристики. Вместе с тем, ему уделено много меньше внимания по причине высокой латентности преступлений в сфере компьютерных технологий и частой обезличенности потерпевшего.