а добавление в друзья». Затем Ангус зашел в «Фейсбук» с аккаунта Фреда и опять же не нашел ни переписки с Сарой, ни следов их взаимного пребывания в «друзьях». Правда, в аккаунте Сары нашлись другие, более умеренные разговоры с приятелями, по которым Дэвид предоставил скриншоты. Но создавалось впечатление, что Дэвид поместил поддельные скриншоты среди настоящих.
И все же Ангус знал: отсутствие доказательств не есть доказательство отсутствия. И в отчете для суда написал, что гарантии дать не может. Теоретически Сара и Фред могли вести нескромную переписку в каких-то неизвестных аккаунтах, с виду идентичных основным аккаунтам. Но Дэвид, неплохой фотограф-любитель, вполне мог и подделать скриншоты. Для понимания ситуации требовалось изучить компьютеры Дэвида: не манипулировал ли он скриншотами через программу редактирования изображений?
Судье пришлось принимать решение. Продолжать ли судебный процесс? Или отложить заседание, а присяжных изолировать на неделю, пока Ангус обследует компьютеры? Он решил продолжать. Присяжные выслушали все показания жертв и выкладки Ангуса. Ангус высказывался очень осторожно (и подчеркнул, что стопроцентных доказательств нет), но его показания были расценены как лишний аргумент в пользу того, что Дэвид — лжец и манипулятор. Посовещавшись, присяжные нашли Дэвида виновным. В настоящее время он отбывает 20-летний срок в тюрьме.
Как видно из случая с кейлогером, чем больше людей, пользующихся все большими возможностями компьютера, тем труднее криминалистам делать свое дело. В некоторых видах экспертизы возможен четкий ответ (скажем, на вопрос «кому из двух людей принадлежит эта кровь?»). Коллеги Ангуса же должны выносить суждение о подлинности данных, выстраивать графики сетевой и внесетевой деятельности, оценивать надежность алиби. Здесь необходима «золотая середина» между воображением и строгостью.
Ангус любит свою работу, поскольку в ней есть интеллектуальный вызов. «Всегда узнаешь что-то новое. Не тянешь лямку день за днем, а решаешь проблемы». Труднее всего смириться с ситуацией, когда расследование ничего не дает. «Не знаю никого в нашем деле, кто останавливается, не получив результатов. Ты делаешь попытки снова, снова и снова, так как что-то должно быть, всегда что-то есть. Нелегко признать, что ты сделал все возможное и уперся в стену».
Чтобы взяться за дело, Ангусу нужен материал. А достать его — подчас головная боль. «Мы не можем ворваться в офис и перетряхнуть компьютеры всех сотрудников, чтобы добраться до одной паршивой овцы. Необходимо действовать адекватно». Добыть для Ангуса материал — дело полиции. А полиции нужен ордер на обыск, чтобы получить право конфисковать цифровые девайсы из гостиной подозреваемого или из его кармана брюк.
Когда девайс находят на месте преступления, он часто несет на себе отпечатки пальцев и следы ДНК. Однако магнитные кисти, с помощью которых эксперты посыпают порошком и выявляют отпечатки пальцев, излучают электромагнитное поле, а потому могут повредить информацию в самом девайсе. Поэтому эксперты научились осторожно помещать девайсы в антистатические пластиковые пакеты, а затем отсылать их специалистам по цифровым технологиям. «Иногда их отсылают не в тот отдел, — говорит Ангус, — я видел, как мобильники попадали в отдел, занимающийся камерами видеонаблюдения, поскольку детективам нужны были фотографии. И хотя сейчас такое редко бывает, я видел, как полицейские подбирали мобильный телефон и начинали сами с ним возиться, чтобы выяснить его содержимое».
Итак, неповрежденный девайс попадает к специалистам по высоким технологиям. По словам Ангуса, «если речь не идет о деле первостепенной важности — например, убийстве или пропаже человека, девайс пролежит полгода на складе, ибо у нас и без него полно хлопот». В наши дни Ангус большей частью получает не автоответчики, принтеры и факсы, а компьютеры, смартфоны и планшеты. Эти небольшие девайсы хранят множество сведений о жизни человека (пусть и не все). Повредить их — значит нанести вред правосудию. Поэтому Ангус говорит: «Правило номер один — по мере возможности сохранять информацию». Кстати, это золотое правило всех экспертов, которые хотят, чтобы улики дожили до суда. На практике оно обычно означает, что содержимое девайса копируется, чтобы сохранить оригинал в неприкосновенности.
Понятие «компьютерная криминалистика» впервые было использовано в 1992 году в связи с извлечением данных из компьютеров в интересах уголовного расследования. Ангус вспоминает одно из своих первых дел: директор компании обвинил предыдущих директоров в мошенничестве и в качестве доказательства предоставил главный жесткий диск офиса. Но этот диск он отослал на две недели в починку, потом неделю хранил у себя дома и лишь затем отдал его в компьютерно-криминалистическую фирму. Ангус сообщил судье, что при таком раскладе сохранность свидетельств не вызывает доверия. Вдруг на одном из этапов этого сложного маршрута жесткого диска какие-то файлы добавили, изменили или заменили? Когда Ангус уже почти подъезжал к Йорку на своем пути в Лидский уголовный суд, ему позвонили: судья согласен с его мнением и отклоняет иск. Ангус вышел из поезда в Йорке, перешел на противоположную сторону платформы и отправился домой в Дарлингтон.
«Иногда приходится нарушать правило номер один, — говорит Ангус. — Содержимое последних айфонов и блэкберри скопировать практически невозможно. Для доступа к файловой системе нужно снять ограничения (сделать «джейлбрейк»). Отсюда правило номер два: если ты не можешь скопировать содержимое и собираешься внести изменения, четко продумай свои действия, чтобы впоследствии отчитаться за них. Имеет смысл делать заметки». Если исследователь по неосторожности откроет файл, время его открытия будет зафиксировано. Это затрудняет составление графика действий пользователя и, как не преминут указать адвокаты в суде, по существу меняет файл.
Располагая неповрежденной копией жесткого диска, Ангус смотрит с помощью специальных программ текущие и удаленные файлы. Подобно тому как детективы старой школы читали стертые карандашные записи, Ангус может восстановить и в компьютере, и в смартфоне все удаленные фотографии, видео и письма.
На мобильных телефонах Ангус смотрит СМС, набранные номера и пропущенные вызовы. Диалоги преступников иногда показывают, что они говорили друг другу во время преступления. Полезные сведения содержат и односторонние сообщения. Утром 18 июня 2001 года 15-летняя Даниэла Джонс ушла из дома в Ист-Тилбери (графство Эссекс) и не вернулась. Подозрения сразу пали на ее дядю Стюарта Кэмпбелла. Он был арестован, и полиция нашла у него на чердаке зеленую холщовую сумку с парой белых чулок, а на чулках — смесь его крови и крови Даниэлы.
Кэмпбелл уверял, что, когда Даниэла пропала, он был в получасе езды оттуда: в хозяйственном магазине в Рейли. Обследовав его мобильный телефон, полиция нашла сообщение, отправленное ему с телефона Даниэлы тем утром:
ПРИВЕТ СТЮ СПАСИБО ЗА ДОБРОТУ ТЫ ЛУЧШИЙ ДЯДЯ НА СВЕТЕ! СКАЖИ МАМЕ ЧТО Я ОЧЕНЬ
ИЗВИНЯЮСЬ ЛЮБЛЮ КРЕПКО ДЭН ЦЕЛУЮ
Полиция навела справки у операторов мобильной связи. Оказалось, что во время отправки СМС мобильные телефоны Кэмпбелла и Даниэлы находились в радиусе действия одной сотовой вышки.
Специалист по лингвистике Малкольм Култард продемонстрировал в суде, что обычно Даниэла писала СМС строчными буквами. Еще в одном СМС, якобы посланном Даниэлой Кэмпбеллу, слово what («что») было сокращенно написано как wot, тогда как девушка обычно пользовалась другим сокращением: wat. Без сомнения, Кэмпбелл сам написал оба сообщения. И все же его обман не удался. Хотя поисковая операция стоимостью 1,7 миллиона фунтов, организованная эссекской полицией, не привела к обнаружению трупа, Кэмпбелл оказался за решеткой.
Сведения о том, где находились жертвы и подозреваемые во время преступления, весьма полезны для следствия. В нынешних айфонах и андроидах передвижения фиксируются по умолчанию, давая возможность четко указать, где находится (и находился!) смартфон. Правда, функцию определения местонахождения можно отключить, но многие этого не знают. В смартфоне iPhone 5S есть особый чип геолокации, способный работать на запасном питании. Пользователи сообщали, что их айфон продолжал отслеживать их движения даже спустя четыре дня после того, как отключался из-за разрядки батарейки. Компания Apple мотивирует это возможностью совершенствовать приложение «Карты» и подсказывать пользователям, что находится в окрестностях. Стоит ли говорить, что эти данные интересуют и полицию?
Даже если пользователь отключает функцию определения местонахождения, полиция может попросить оператора мобильной связи указать приблизительно, где искать человека в тот или иной момент. Ведь мобильные телефоны поддерживают постоянную связь с сотовыми вышками: им нужен сигнал. Вышки же охватывают небольшие территории, как пришлось убедиться Стюарту Кэмпбеллу из Ист-Тилбери. Так было и в одном знаменательном деле, которое разворачивалось в Шотландии в 2010 году.
Утром 4 мая 2010 года 38-летняя Сюзанна Пилли отправилась на работу. Работала она бухгалтером в финансовой компании на Тисл-стрит в центре Эдинбурга. В 8:51 ее зафиксировала камера видеонаблюдения: она выходила из магазина Sainsbury’s, где покупала еду себе на обед. Больше ее в живых никто не видел. Точнее, никто, кроме ее коллеги, 49-летнего Дэвида Гилроя. Гилрой был человеком семейным, но годом раньше у него началась связь с Сюзанной. А потом она решила порвать с ним отношения: ей надоели его властность и ревнивость.
В месяц перед исчезновением Сюзанны Гилрой отправил ей более 400 СМС и многочисленные голосовые сообщения. Он всячески старался сохранить отношения и не мог смириться с тем, что она его бросила. Как-то на протяжении двух дней он отправил более 200 посланий с мольбами. А накануне ее исчезновения Гилрой оставил ей многочисленные эсэмэски и голосовое сообщение, в котором говорилось: «Волнуюсь за тебя».