🟨 Экспертиза идентификации конкретного пользователя по цифровым следам

📌 Введение: однозначность vs высокая степень вероятности

Вопрос о том, можно ли на основании цифровых следов, оставленных на компьютере, однозначно установить, что конкретный человек работал за ним в определенное время, является одним из наиболее сложных и дискуссионных в судебной компьютерно-технической экспертизе. Прямой и короткий ответ: в подавляющем большинстве случаев однозначно утверждать это нельзя, если только не зафиксированы дополнительные обстоятельства (например, видеозапись с камер наблюдения, одновременное использование биометрической аутентификации, уникальные поведенческие паттерны). Однако эксперт может с высокой степенью вероятности связать активность с учетной записью пользователя, а затем, через совокупность косвенных доказательств — с конкретным физическим лицом.

Настоящая консультация подготовлена на основе многолетней практики проведения компьютерно-технических экспертиз для целей трудовых споров, уголовных расследований и гражданских дел, связанных с оспариванием действий пользователя.

⚖️ Глава 1. Основной принцип: компьютер фиксирует активность учетной записи, а не личность

1.1. Техническая реальность

Операционная система (Windows, macOS, Linux) и прикладное программное обеспечение не обладают способностью различать физических лиц, сидящих перед экраном. Все, что фиксируется в журналах (логах), реестре, метаданных файлов, — это действия, совершенные от имени определенной учетной записи пользователя (user account). Учетная запись может иметь логин и пароль, но пароль может быть скомпрометирован (узнан другим лицом, записан на стикере, подобран), а компьютер может быть оставлен без блокировки.

Таким образом, эксперт не может утверждать «за компьютером сидел Иванов И.И.» с абсолютной достоверностью. Он может утверждать: «Действия совершались из-под учетной записи Ivanov», а затем суд, оценивая совокупность доказательств (показания свидетелей, данные пропускной системы, камеры видеонаблюдения, записи с рабочих мест, биометрические данные (отпечатки пальца, Windows Hello)), делает вывод о том, кто именно мог быть физическим лицом в тот момент.

🔐 Глава 2. Основные цифровые следы активности пользователя

Ниже приведен перечень основных артефактов, которые эксперт анализирует для восстановления хронологии событий и связывания их с учетной записью:

2.1. Журналы входа в систему (Logon Events)

Журнал безопасности Windows (Security Log) фиксирует каждую попытку входа в систему. Наиболее значимые события:

Event ID 4624 (успешный вход в систему): содержит имя учетной записи, время входа, тип входа (Logon Type). Например, Logon Type 2 — интерактивный вход (локально, с клавиатуры монитора). Logon Type 10 — удаленный интерактивный вход (RDP).
Event ID 4625 (неудачная попытка входа): может указывать на попытку подбора пароля.
Event ID 4634 / 4647 (выход из системы / завершение сеанса).
Event ID 4778 / 4779 (подключение / отключение сеанса RDP).

Ограничения метода: Если пользователь не выходил из системы и не блокировал компьютер, а другой человек просто подошел и начал работать — нового события входа зафиксировано не будет (система считает, что сеанс продолжается).

2.2. Метаданные файлов (MAC times — Modified, Accessed, Created)

Каждый файл в файловой системе NTFS имеет три временные метки:

Created (рождение): когда файл был создан.
Modified (изменение): когда содержимое файла было изменено в последний раз.
Accessed (доступ): когда файл был открыт для чтения.

Если известно, что конкретный пользователь работал над определенным документом (например, отчетом) в определенное время, и метаданные файла показывают, что он был изменен в это время с его учетной записью (владелец файла), это сильное, но не абсолютное доказательство. Технически кто-то другой мог открыть файл от имени этой учетной записи.

2.3. Артефакты реестра Windows

UserAssist: хранит историю запуска программ (имя программы, количество запусков, время последнего запуска). Сброс этой информации возможен, но требует прав администратора. Пользователи, не искушенные в цифровой криминалистике, обычно его не чистят.
Shellbags: хранят настройки отображения папок (размер окна, вид, сортировка) и, что важнее, имена папок, которые пользователь открывал, даже если сами папки были впоследствии удалены. Shellbags однозначно привязаны к конкретному пользователю (хранятся в его ветке реестра NTUSER.DAT).
Recent Docs (недавние документы): список файлов, которые пользователь открывал (в Windows 10/11 — через Jump Lists).
USBSTOR (история подключения USB-устройств): фиксирует производителя, серийный номер и дату первого/последнего подключения каждой флешки. Если вы знаете, что у пользователя была флешка с уникальным серийным номером (серийный номер виден в «Диспетчере устройств»), и эта флешка подключалась к компьютеру в спорное время, а в файловой системе обнаружены файлы, скопированные с нее — это связывает пользователя (владельца флешки) с действиями.

2.4. Prefetch-файлы

Windows создает Prefetch-файлы для ускорения запуска программ. Они содержат путь к исполняемому файлу, количество запусков и время последнего запуска. Даже если программа была удалена, Prefetch-файл может остаться. Анализ Prefetch позволяет установить, какие программы запускались из-под конкретного пользователя и когда.

2.5. История веб—браузеров (Chrome, Firefox, Edge, Opera)

Файлы истории (History, Places.sqlite) содержат список посещенных URL-адресов с точной временной меткой. Если в спорное время с компьютера заходили на сайты, которые характерны для конкретного пользователя (социальные сети, личная почта, форумы, где он зарегистрирован под своим именем), и для входа на эти сайты (вероятно) использовались его личные учетные записи — это сильный косвенный признак. Эксперт может извлечь cookies и сессионные данные, иногда позволяющие установить, что пользователь был авторизован под своим именем.

2.6. Журналы принтера (если распечатывались документы)

Если в исследуемое время были распечатаны документы, журналы принтера (на самом компьютере или на сетевом принтере) могут зафиксировать имя пользователя, отправившего задание на печать, имя файла и время.

📂 Глава 3. Совокупность доказательств и «цифровой профиль пользователя»

Однозначная идентификация почти никогда не основывается на единичном артефакте. Эксперт строит цепочку доказательств, которая в совокупности позволяет говорить о «высокой степени вероятности».

Пример «цифрового профиля» пользователя:

Вход в систему под учетной записью Ivanov в 09:05 утра (журнал Event ID 4624).
В 09:10 из-под этой же учетной записи открыт документ «План продаж Иванова.xlsx» (журнал Recent Docs, метаданные файла показывают модификацию с 09:10 по 09:45).
В 09:15 пользователь запустил браузер Chrome (Prefetch) и зашел на сайт vk.com/id123456 (личная страница Иванова, где отображается его фотография). Cookies и история браузера подтверждают вход под логином Ivanov_1985.
В 09:30 пользователь подключил флешку с серийным номером…-…-12345 (USBSTOR). Эксперт знает, что эта флешка принадлежит Иванову (он использовал ее ранее, и его отпечатки пальцев (дактилоскопическая экспертиза) были обнаружены на ней при изъятии).
В 09:35 запущена программа 7z.exe (Prefetch) и создан архив Archive.zip. Файл Archive.zip содержит скопированные конфиденциальные документы.

В этом случае эксперт делает вероятностный вывод: «С высокой степенью вероятности (более 95%) в период с 09:05 по 09:45 за компьютером работал пользователь учетной записи Ivanov. Совокупность артефактов: вход в личную социальную сеть, использование персональной флешки, работа над личным документом — позволяет связать активность с физическим лицом — Ивановым И.И.».

📂 Глава 4. Специальные методы идентификации (повышающие достоверность)

4.1. Клавиатурный почерк (Keystroke Dynamics)

Для каждого человека характерен свой темп набора текста, длительность нажатия клавиш, интервалы между нажатиями, частота ошибок и их исправления. Специализированное программное обеспечение может записывать эти параметры (так называемые «клавиатурные почерки») в фоновом режиме.

Если такая система мониторинга была установлена на компьютере, эксперт может сравнить параметры набора, зафиксированные в спорное время, с эталонными параметрами конкретного человека (снятыми заранее). Клавиатурный почерк — один из немногих методов, который может дать очень высокую степень уверенности (но не 100%, так как почерк меняется при усталости, стрессе, алкогольном опьянении).

4.2. Поведенческие паттерны (стиль работы)

Анализ последовательности действий (мыши, окон), например, как пользователь открывает папки, как запускает программы (горячие клавиши или мышь), какие настройки интерфейса использует. Этот метод — вероятностный и больше применим к внутренним расследованиям, где наблюдали за подозреваемым, чем к судебной экспертизе.

4.3. Биометрические данные (Windows Hello, сканер отпечатков пальцев)

Если компьютер оснащен сканером отпечатков пальцев или камерой для распознавания лица (Windows Hello), и в системе включен аудит биометрических входов, то фиксируется, какой пользователь и когда использовал биометрию. Это наиболее близкий к однозначному метод, так как отпечаток пальца и лицо уникальны. Однако требуется, чтобы спорный период уже входил в зону действия биометрии (а не альтернативной разблокировки паролем).

4.4. Корреляция с другими источниками данных (вне компьютера)

Самый сильный метод — сопоставление цифровых следов на компьютере с данными из других источников:

Данные пропускной системы: если в 09:05 утра Иванов приложил пропуск на проходной, а в 09:06 зафиксирован вход в систему — это временная корреляция.
Система видеонаблюдения: камера у рабочего места зафиксировала, что в 09:00–10:00 за компьютером сидел именно Иванов.
Логи доступа к корпоративной сети и Wi-Fi: MAC-адрес его ноутбука или телефона был зафиксирован в сети в это время.
GPS-трекеры на служебном автомобиле или телефоне (если установлены).

Эксперт может проанализировать эти данные (если они предоставлены) и сопоставить их с временными метками действий на компьютере.

📂 Кейс № 1 (из практики: «Однозначно не установили, но суд признал достаточным»)

Ситуация: В трудовом споре сотрудник отрицал, что удалил важные файлы с сервера в ночное время, утверждая, что его учетная запись взломали.

Проведенная экспертиза: Эксперт установил:

Вход под учетной записью сотрудника в 02:15 (Event ID 4624, Logon Type 10 — удаленный доступ через VPN). IP-адрес источника соответствовал домашнему IP-адресу сотрудника (предоставлен провайдером по запросу суда).
Запуск программы для безвозвратного удаления файлов (Eraser) из-под его учетной записи (UserAssist, Prefetch).
Удаление сотен файлов с сервера, которое зафиксировано в журналах событий сервера (Event ID 4663).
Нет никаких признаков взлома или компрометации учетной записи (отсутствуют аномальные события входа, не было зафиксировано сброса пароля, не было подозрительных процессов).

Решение эксперта: Эксперт дал вывод: «Установлена высокая степень вероятности (более 95%) того, что удаление файлов произведено с использованием учетной записи сотрудника, с его домашнего IP-адреса. Признаков взлома учетной записи не выявлено».

Суд: Суд принял заключение эксперта как доказательство, отметив, что «отсутствие признаков взлома в совокупности с совпадением IP-адреса и времени удаления позволяет суду прийти к выводу о том, что действия совершал именно ответчик». Иск удовлетворен.

📂 Кейс № 2 (из практики: оправдательный приговор из-за невозможности однозначно идентифицировать пользователя)

Ситуация: Уголовное дело по ст. 272 УК РФ (неправомерный доступ к компьютерной информации). Доступ в базу данных организации был совершен с компьютера секретаря, на котором была установлена учетная запись с паролем. Обвиняемая (секретарь) утверждала, что в тот день она ушла на обед и оставила компьютер включенным, не заблокировав его.

Проведенная экспертиза: Эксперт установил:

Вход в базу данных был совершен под учетной записью секретаря. Сам факт входа зафиксирован в журналах СУБД.
Нет никаких дополнительных доказательств, позволяющих определить, кто именно сидел за компьютером в момент доступа: нет видеонаблюдения, нет записи клавиатурного почерка, нет биометрии, нет свидетелей.
Технически вход мог быть произведен как самой секретаршей, так и любым иным лицом, имевшим физический доступ к незаблокированному компьютеру (коллеги, посетители, уборщица).

Вывод эксперта: «Установить, какое конкретное физическое лицо осуществляло доступ к базе данных в спорное время, не представляется возможным. Можно лишь утверждать, что доступ был произведен с использованием учетной записи гражданки С., компьютер не был заблокирован».

Итог: Суд оправдал обвиняемую за недоказанностью, так как не было исключено, что доступ мог осуществить кто-то другой.

📋 Глава 5. Что необходимо предоставить эксперту для максимально полного анализа

Физический носитель информации (жесткий диск, SSD, ноутбук или компьютер целиком). Эксперт создаст битовую копию (образ).
Информацию об учетных записях: пароли от учетных записей пользователей (если известны), сведения о том, использовалась ли биометрия (Windows Hello, отпечатки пальцев).
Временные рамки предполагаемой активности: конкретные даты и время (или диапазон), в который, по вашему мнению, имела место спорная активность.
Идентифицирующую информацию о пользователе:
- его логины и пароли от личных сервисов (почта, соцсети), которые он мог бы использовать на рабочем компьютере;
- серийные номера его личных флешек, внешних дисков;
- номера мобильных телефонов (для сопоставления с временными метками Wi-Fi подключений, по запросу к провайдеру или корпоративной сети).
Сторонние источники данных (если есть): записи с камер видеонаблюдения, журналы пропускной системы, логи доступа к Wi-Fi (MAC-адреса устройств), выписки у провайдера о выделении IP-адресов, показания свидетелей.

Заключение: высокая степень вероятности — стандарт судебной практики

Компьютерно-техническая экспертиза, проведенная квалифицированным специалистом, способна предоставить суду и следствию объективную основу для установления личности пользователя, но не в виде абсолютной истины, а в виде научно обоснованной высокой степени вероятности.

Ключевые выводы:

Однозначно доказать («человек X сидел за компьютером») почти никогда нельзя. Компьютер фиксирует активность учетной записи, а не личности.
Совокупность цифровых артефактов (время входа, метаданные файлов, история браузера с личной почтой социальной сети, данные USBSTOR, Prefetch) в отсутствие признаков компрометации позволяет сформулировать вывод о высокой степени вероятности (более 90-95%).
Наличие внешних источников (биометрия, камеры видеонаблюдения, данные пропускной системы, сопоставление MAC/IP) может поднять вероятность практически до абсолютной.
Судья принимает решение, оценивая совокупность доказательств, включая экспертное заключение. Вероятностный вывод эксперта, подкрепленный другими доказательствами, ложится в основу приговора или решения.

В случаях, когда компьютер не был заблокирован или пароль был заведомо известен многим лицам, однозначная идентификация становится невозможной технически.

Для получения индивидуальной консультации по вашему конкретному случаю, выезда эксперта для корректного изъятия носителей, а также для предварительного расчета стоимости и сроков, обращайтесь на страницу: https://fedexpertiza.ru/konsultacziya/.