Форум ''Интернет и Право''

Основной раздел => Компьютерные преступления => Тема начата: gur от 21 Апреля 2007, 19:29:57



Название: Анализ проблем расследования компьютерных преступлений
Отправлено: gur от 21 Апреля 2007, 19:29:57
Ребята!
На основе своей и Вашей практики по КП хочу сделать хороший анализ проблем, возникающих в процессе расследования компьютерных преступлений.
Поможете мне его сделать?
Вот мой краткий примерный:
Проблемы, возникающие в процессе сотрудничества государств и правоохранительных органов в борьбе с компьютерными преступлениями, равно как и проблемы, связанные с сотрудничеством по пресечению и наказанию иных категорий преступлений, можно подразделить на следующие группы:
1. определение места совершения преступления;
2.  выявление преступления и выдача преступников;
3.  расследование преступления; судебное преследование, в том числе передача судопроизводств;
4.  определение места отбывания наказания за совершенное преступление.
В отношении компьютерных преступлений проблемы определения места совершения преступления, выявления преступления и его расследования являются наиболее сложными. Указанные преступления имеют высокую степень латентности, способы их совершения обусловливают значительные трудности в раскрытии, поскольку преступники, используя компьютер и коды доступа, остаются, по существу, анонимными. Более того, раскрытие таких преступлений возможно только вследствие привлечения высококвалифицированных специалистов в области компьютерной техники, обладающих не меньшим уровнем знаний, чем хакеры. Раскрытие преступлений усложняется и тем, что преступник, как правило, может находиться в одном государстве, а результаты преступной деятельности проявляются на территориях других государств.
Исходя из опыта ведения дел  и судебной практики мной выявлены следующие проблемы в раскрытии компьютерных преступлений:
1) Заявление о возбуждении уголовного дела либо вообще не принимается либо выносится постановление об отказе в возбуждении уголовного дела. В связи с этим, не проводятся проверочные мероприятия в соответствии со ст. 144 УПК РФ – не производится изъятие лог-файлов у провайдеров, не ведётся опрос возможных свидетелей, не устанавливаются IP-адреса злоумышленников, не снимаются в установленном УПК порядке следы незаконного доступа к информации и др. Данные обстоятельства существенным образом сказываются на дальнейшем расследовании дела, а именно – доказательства в виде например, лог-файлов стираются с баз данных провайдеров. Это действует на подсознание будущих преступников, которые пользуются этим и продолжают совершать преступные деяния.
2) В исключительных случаях когда всё-таки возбуждается уголовное дело – ряд следственных действий не производится, либо производится, но не в соответствии с установленным порядком в УПК. Так, не производится изъятие лог-файлов, содержащих в себе следы доступа к охраняемой законом информации. А если производится изъятие лог-файлов, то с существенными нарушениями: без привлечения компьютерно- грамотных понятых и специалистов. В ходе судебного процесса данные лог-файлы могут быть исключены из всех доказательств вследствие недостоверности и/или недопустимости. Так, может быть заявлено о том, что понятые не понимали ход и производимые действия следователя, а вследствие этого данные в протоколе следственного действия могут быть поставлены под сомнение.  КТЭ (компьютерно-техническая экспертиза) проводится экспертами, не обладающими специальными познаниями в области проведения КТЭ с существенными нарушениями УПК:
1. так во многих случаях КТЭ проводится непосредственно на жестком диске без снятия образа диска.
2. в заключении КТЭ не устанавливается соответствие системного даты и времени  текущим (реальным) значениям даты и времени.
3. при производстве КТЭ используются контрафактные программы и не сертифицированное оборудование, что категорически запрещено делать.
4. для восстановления данных НЖМД используются устаревшие и неэффективные программы:  Partition Table Doctor v3.0, PC Inspector File Recovery, O&O Disk  Recovery 3.0, Easy Recovery Pro 6.04.
5. нарушается ст. 204 УПК – в заключении не указывается дата, время, место проведения КТЭ, учёное звание или степень эксперта, содержание и результаты исследований с указанием примененных методик.
Вышеуказанные нарушения приводят к тому, что злоумышленники зачастую остаются безнаказанными, отсюда рост и модификация компьютерной преступности, трансформация её в более сложные по способам и методам неправомерные действия правонарушителей.
Список проблем не полный, все косяки не учтены по этим делам. На основе обобщения всех проблем и «косяков» выводы анализа должны содержать конкретные предложения по усовершенствованию процесса расследования КП и доведение дел до судебного процесса.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 21 Апреля 2007, 20:35:42
Одной из серъезных проблем, не указанных Софией являются неотложные действия совершаемые сотрудниками СОГ при проведении ОМП. Как правило, кроме КТ ничего не ищется и не измается, ни традиционные криминалистические следы,  ни сменные носители данных: флэш-накопители,  лазерные оптические диски, дискеты и т.д.

Одной из серъезнейших проблем, о которой уже более года бъют во все колокола эксперты - это упаковка изымаемых объектов. До следователей и оперативников не доходит, что не достаточно наклеить на кнопку пуск и на разъемы блока питания бумажки со слабовидимыми оттисками непонятно каких печатей  >:( !!! Упаковка должна быть таковой чтобы сторонее лицо даже имея умысел на замену/изменение информации на изъятых носителях не могло осуществить подмену доказательств. Иначе титанический труд следователей, оперативников, экспертов пропадет даром, т.к. адвокат развалит дело на том основании, что информация на изъятых компьютерах могла быть изменена/подброшена.

Еще момент. Осмотр техники проводимый следователями. По УПК следователь производит осмотр изъятых объектов и признает их вещ.доками по делу. Как осматривается информация на компьютере ? Правильно, следователь подключает к изъятому системному блоку монитор, мышь, клавиатуру и включает его в сеть.  :( Все усилия экспертов по сохранению целостности и неизменности изъятой информации идут прахом.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 21 Апреля 2007, 21:13:37
Цитировать
Упаковка должна быть таковой чтобы сторонее лицо даже имея умысел на замену/изменение информации на изъятых носителях не могло осуществить подмену доказательств. Иначе титанический труд следователей, оперативников, экспертов пропадет даром, т.к. адвокат развалит дело на том основании, что информация на изъятых компьютерах могла быть изменена/подброшена
Проблема более общая и является следствием легкости добавления/удаления/изменения информации на специально для этого предназначенных носителях.
Цитировать
Осмотр техники проводимый следователями. По УПК следователь производит осмотр изъятых объектов и признает их вещ.доками по делу. Как осматривается информация на компьютере ? Правильно, следователь подключает к изъятому системному блоку монитор, мышь, клавиатуру и включает его в сеть.
Это только грязнули, которые свой прибор на помойке нашли, могут его совать куда угодное без предохранения. А таких, как я понял, подавляющее большинство.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: CyberCop от 22 Апреля 2007, 09:50:38
Игорь прав на все 100% !  :'(


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Николай Николаевич Федотов от 22 Апреля 2007, 13:19:26
3. при производстве КТЭ используются контрафактные программы и не сертифицированное оборудование, что категорически запрещено делать.
Цитированное утверждение не основано на законе. Запрета на использование указанных программ и оборудования в судебных целях не существует.

Что же касается несертифицированного оборудования... Следует понимать, что различных сертификаций, добровольных и обязательных, существуют сотни видов. Когда я слышу про "несертифицированное оборудование", всегда вспоминаю старшего сержанта милиции Зинатулина, который всегда говорил: "Нельзя без справки"; любая бумажка с синей печатью воздействовала на него магически.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: H.F.M. от 22 Апреля 2007, 16:12:48
1. так во многих случаях КТЭ проводится непосредственно на жестком диске без снятия образа диска.
Извините за, может, глупый вопрос, но зачем? А как, например, с образа восстановить удалённые данные? Или я чего-то не правильно понял?


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 22 Апреля 2007, 16:18:24
Извините за, может, глупый вопрос, но зачем? А как, например, с образа восстановить удалённые данные? Или я чего-то не правильно понял?
Образ, например, логического диска, можно смонтировать программой Mount Image Pro. При этом в системе появится еще один логический раздел, представляющий собой копию реального логического раздела (содержащий как и реальный раздел данные находящиеся на нем  в явном виде и в удаленном). Восстановить можно любыми утилитами для этого предназначенными. Нет никаких проблем.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 22 Апреля 2007, 16:38:18
Цитировать
Извините за, может, глупый вопрос, но зачем? А как, например, с образа восстановить удалённые данные? Или я чего-то не правильно понял?
Не поняли Вы то, что в отличии от "белого порошка" информация прекрасно тиражируется. Создали точную копию информации с исследуемого носителя и работайте с ней хоть до посинения. Восстанавливайте, переустанавливайте, удаляйте, изменяйте. А исходный носитель не трогайте - он является вещдоком, содержащим на себе следы преступления.

А так почему-то, наверное от большого ума, никто не делает.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: H.F.M. от 22 Апреля 2007, 17:29:12
Образ, например, логического диска, можно смонтировать программой Mount Image Pro. При этом в системе появится еще один логический раздел, представляющий собой копию реального логического раздела (содержащий как и реальный раздел данные находящиеся на нем  в явном виде и в удаленном). Восстановить можно любыми утилитами для этого предназначенными. Нет никаких проблем.
Про систему создания/монтирования образов диска знаю не понаслышке. Но вот про восстановление данных с них... Возможно. Но, тем не менее, в отдельных случаях будет непосредственный доступ к НЖМД будет необходим (после затирания данных нулями или др. информацией).
Не поняли Вы то, что в отличии от "белого порошка" информация прекрасно тиражируется.
Это-то, я как раз прекрасно понял :-)
Цитировать
Создали точную копию информации с исследуемого носителя и работайте с ней хоть до посинения. Восстанавливайте, переустанавливайте, удаляйте, изменяйте. А исходный носитель не трогайте - он является вещдоком, содержащим на себе следы преступления.
Ясно. Умный вещь.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 22 Апреля 2007, 17:39:38
Цитировать
Это-то, я как раз прекрасно понял :-)
"Понял" (в отличии от "знаю") предполагает еще и умение активно применять "знаю".
Цитировать
Но вот про восстановление данных с них...
А взять пустой диск и проверить? Я такие фичи проделывал еще в прошлом веке для DOS-а в рамка UNIX-овой файловой системы.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: H.F.M. от 22 Апреля 2007, 18:31:21
"Понял" (в отличии от "знаю") предполагает еще и умение активно применять "знаю".
А на мой взгляд, "Понял" - это когда не знал, а потом объяснили, и "Понял", а "Знаю", это когда знал до того, как тебе объяснили :-) А "активно применять "знаю"", это как раз "Умею". Но это всё рассуждение на тему, и всё-таки не относится к основной теме. ИМХО
Цитировать
А взять пустой диск и проверить?
В смысле? Образ диска, или непосредственно сам диск? С самого диска восстановить данные давольно просто (при определённых обстоятельствах), но вот с образа... если честно, просто не пробовал.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Андрей С.В. от 22 Апреля 2007, 18:49:39
Цитировать
А на мой взгляд, "Понял" - это когда не знал, а потом объяснили, и "Понял", а "Знаю", это когда знал до того, как тебе объяснили :-) А "активно применять "знаю"", это как раз "Умею". Но это всё рассуждение на тему, и всё-таки не относится к основной теме. ИМХО

Хотя и не по теме, но я Вам возражаю!!! Что значит не знал, но потом объяснили??? >:( Взять те же органы или спец. службы, армию, наконец. Хотя там беспорядка хватает и тупости тоже, но и в таких условиях совершенно ясно, что ответ "понял" означает - человек понял задачу(команду), что нужно сделать(делать), а как это сделать он знает(а если не знает, то хотя бы догадывается ;)). Здесь Юрикс совершенно прав!

Извиняюсь коллеги за отступление от темы ветки. Прошу участника под ником H.F.M., мое сообщение не комментировать, а принять его как информацию к сведению!


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 22 Апреля 2007, 18:58:42
Просьба - не отклоняемся от темы дискуссии.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 22 Апреля 2007, 19:05:02
И еще, применительно к экспертам (думаю в работе будет не лишним это упомянуть) сложилась порочная практика требовать от экспертов дачи юридической оценки: контрафактное ПО, вредоносная программа.
В целом и органы предварительного расследования и суды устраивает когда такую оценку дает эксперт. НО, это (дача юридической оценки) является нарушением требований УПК (хотя в настоящий момент явление носит массовый характер :( ). И надо с этим уже что-то делать.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Николай Николаевич Федотов от 22 Апреля 2007, 19:15:55
С самого диска восстановить данные давольно просто (при определённых обстоятельствах), но вот с образа... если честно, просто не пробовал.
Говоря "образ диска", профессиональные эксперты имеют в виду копию, снятую на уровне контроллера диска или так называемую bitstream-копию.

Если же копировать диск на уровне файловой системы, то, конечно, ничего не восстановишь.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: H.F.M. от 22 Апреля 2007, 19:45:43
Говоря "образ диска", профессиональные эксперты имеют в виду копию, снятую на уровне контроллера диска или так называемую bitstream-копию.
Премного благодарен за разъяснение. А не подскажите, где можно подробнее узнать про "bitstream-копии"? Потому что поискивики говорят, что не знают такого :-(


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 22 Апреля 2007, 20:09:16
Копию снимают либо бит-бит (это кажись на западе и обзывают bit stream), либо сектор-сектор.

Премного благодарен за разъяснение. А не подскажите, где можно подробнее узнать про "bitstream-копии"? Потому что поискивики говорят, что не знают такого :-(
Дык надо-ж правильно поисковый запрос вводить (Вы пробел забыли добить) "bit stream", тогда и найдете искомое ;)

Например: http://www.forensics-intl.com/def2.html
Bit Stream Backup - Defined

Bit stream backups (also referred to as mirror image backups) involve the backup of all areas of a computer hard disk drive or another type of storage media, e.g., Zip disks, floppy disks, Jazz disks, etc. Such backups exactly replicate all  sectors on a given storage device. Thus, all files and ambient data storage areas are copied. Bit stream backups are sometimes also referred to as 'evidence grade' backups and they differ substantially from traditional computer file backups and network server backups.

The making of a bit stream backup is simple in theory but the accuracy of the backup must meet evidence standards. Accuracy is essential and to guarantee accuracy, bit stream backup programs rely upon mathematical CRC computations in the validation process. These mathematical validation processes compare the original source data with the restored data. When computer evidence is involved, accuracy is extremely important and the making of a bit stream backup is sometimes described as the preservation of the 'electronic crime scene'.

Ну и т.д. :)


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 22 Апреля 2007, 20:24:26
Цитировать
Премного благодарен за разъяснение. А не подскажите, где можно подробнее узнать про "bitstream-копии"? Потому что поискивики говорят, что не знают такого
Плохо, что Вы не работаете в UNIX системах. Там все что угодно, любым образом объединенные данные являются файлом. В том числе и дисковые устройства. Или разделы дисковых устройств. Действия такие, если Вы работаете под виндозой, то создаете раздел точно такой же длины, как исследуемый, на рабочем (пустом) носителе. Туда либо командой dd в UNIX-е, либо есть для виндозы такие же приблуды, копируете байт в байт образ исследуемого раздела. А после этого делайте с этим разделом все, что сочтете нужным. В UNIX-е все гораздо проще и логичнее. Виндоза - она жутко коммерческая, отсюда и надуманные ограничения и непонятная терминология.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: H.F.M. от 22 Апреля 2007, 20:57:24
Копию снимают либо бит-бит (это кажись на западе и обзывают bit stream), либо сектор-сектор.
Дык надо-ж правильно поисковый запрос вводить (Вы пробел забыли добить) "bit stream", тогда и найдете искомое ;)
Например: http://www.forensics-intl.com/def2.html
Bit Stream Backup - Defined
Спасибо! Будем навёрстывать упущенное :-)
Плохо, что Вы не работаете в UNIX системах.
Я только начинаю в *NIX системах работать. Вот недавно себе поставил Mandriva Linux. Проблема в том, что без опыта в них тяжело работать, т.к. на каждом шаге появляються какие-то вопросы, ответы на которые, порой тяжело найти.
Цитировать
Действия такие, если Вы работаете под виндозой, то создаете раздел точно такой же длины, как исследуемый, на рабочем (пустом) носителе. Туда либо командой dd в UNIX-е, либо есть для виндозы такие же приблуды, копируете байт в байт образ исследуемого раздела. А после этого делайте с этим разделом все, что сочтете нужным. В UNIX-е все гораздо проще и логичнее.
Спасибо, теперь всё понятно.
Цитировать
Виндоза - она жутко коммерческая, отсюда и ограничения и терминология.
Согласен. Поэтому сам пытаюсь перейти на *NIX систему.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 22 Апреля 2007, 21:12:04
Цитировать
Проблема в том, что без опыта в них тяжело работать, т.к. на каждом шаге появляються какие-то вопросы, ответы на которые, порой тяжело найти.
UNIX - это точная реализация теории программирования. Все то, что делали Тьюринг, Глушков, Колмогоров, Виннер, Вирт, Ахо, Ульман, Дейкстра, Хомский, фон Нейман, Бэкус, Томпсон, Ричи, Фьюэр, Ривест и др. Зная теорию - раззберетесь легко и придет понимание.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 22 Апреля 2007, 21:41:08
Я только начинаю в *NIX системах работать. Вот недавно себе поставил Mandriva Linux. Проблема в том, что без опыта в них тяжело работать, т.к. на каждом шаге появляються какие-то вопросы, ответы на которые, порой тяжело найти.
Осмелюсь обратить Ваше внимание на Helix.
Скачать можно тут: http://www.e-fense.com/helix/downloads.php
Документацию ( Helix for Beginners (BJ Gleason & Drew Fahey)) можно скачать тут: http://www.e-fense.com/helix/Docs/Helix0307.pdf


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: H.F.M. от 22 Апреля 2007, 22:19:44
Осмелюсь обратить Ваше внимание на Helix.
Скачать можно тут: http://www.e-fense.com/helix/downloads.php
Документацию ( Helix for Beginners (BJ Gleason & Drew Fahey)) можно скачать тут: http://www.e-fense.com/helix/Docs/Helix0307.pdf
Хорошо, обязательно посмотрю про неё. Только вот скачать вряд ли получиться, т.к. не имею анлима (В моём городе только начали появляться анлимные тарифы, а цены и скорость пока оставляют желать лучшего...).


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Антон Серго от 23 Апреля 2007, 00:35:16
2 All: при всем уважении, нетематическую дискуссию прошу перевести в приват..


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 23 Апреля 2007, 08:22:47
Цитировать
при всем уважении, нетематическую дискуссию прошу перевести в приват
Дискуссия как раз по теме. Одному человеку рассказали, другие почитали и сделали так же. Большая часть проблем поставленных в теме появляются из-за неправильной КТЭ. Для правильного проведения КТЭ нужна правильная последовательность действий, учитывающая особенности свойств информации, и правильный инструмент. Это мы как раз и обсуждаем.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: gur от 23 Апреля 2007, 14:15:07
Цитировать
Упаковка должна быть таковой чтобы сторонее лицо даже имея умысел на замену/изменение информации на изъятых носителях не могло осуществить подмену доказательств. Иначе титанический труд следователей, оперативников, экспертов пропадет даром, т.к. адвокат развалит дело на том основании, что информация на изъятых компьютерах могла быть изменена/подброшена
Принято! Действительно столкнулась с этим на практике! Жесткий диск подозреваемого вообще валялся где-то в кабинете следователя без  надлежащей упаковки и доступ к нему был у неопределенного количества лиц.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: gur от 23 Апреля 2007, 14:21:07
Цитированное утверждение не основано на законе. Запрета на использование указанных программ и оборудования в судебных целях не существует.
Как это нет? Используя контрафактные программы при производстве экспертизы, эксперт, по существу сам совершает преступление. Неужели у нас в законе указан специальный субъект по таким преступлениям: т.е. все кроме экспертов?


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: gur от 23 Апреля 2007, 14:38:39
И еще, применительно к экспертам (думаю в работе будет не лишним это упомянуть) сложилась порочная практика требовать от экспертов дачи юридической оценки: контрафактное ПО, вредоносная программа.
В целом и органы предварительного расследования и суды устраивает когда такую оценку дает эксперт. НО, это (дача юридической оценки) является нарушением требований УПК (хотя в настоящий момент явление носит массовый характер :( ). И надо с этим уже что-то делать.
Кстати, даже сами эксперты в заключениях делают такие ошибки.
Но здесь конечно всё зависит от квалификации эксперта. А вот решить проблему относительно дачи юридической оценки экспертом может разрешить сам эксперт, который на судебном процессе заявит о том, что он в рамках своего процессуального статуса не имеет права давать такую оценку. Делать выводы на основе исследованных доказательств - прерогатива суда.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: gur от 23 Апреля 2007, 15:13:18
Дискуссия как раз по теме. Одному человеку рассказали, другие почитали и сделали так же. Большая часть проблем поставленных в теме появляются из-за неправильной КТЭ. Для правильного проведения КТЭ нужна правильная последовательность действий, учитывающая особенности свойств информации, и правильный инструмент. Это мы как раз и обсуждаем.
Полностью согласна с Юриксом!!!
Как раз и подняла эту тему для того, чтобы выработать правильную последовательность действий при проведении КТЭ и всего процесса расследования КП!
По восстановлению данных с образа диска очень полезная информация: к сожалению не все эксперты этим пользуются ввиду того, что просто не знают как это делается!


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 23 Апреля 2007, 15:58:19
Как раз и подняла эту тему для того, чтобы выработать правильную последовательность действий при проведении КТЭ ...
Боюсь, что Вы взялись за задачу, для которой не существует решения (т.к. каждая экспертиза КТЭ  индивидуальна (если не сказать уникальна)).


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 24 Апреля 2007, 04:46:20
Пригодится

Брайан Кэрри:

"Инструментарий цифрового расследования стал достаточно прост в использовании и это хорошо, потому что простота уменьшает время, необходимое на проведение расследования. Тем не менее у нее есть и оборотная сторона : эксперт не всегда в полной мере понимает все результаты."

"С ходом расследования эксперт строит гипотезы и ищет улики, которые подтверждали бы или опровергали их. Важно, чтобы эксперт искал и опровергающие улики , не ограничиваясь подтверждающими."

P.S. Термин эксперт, здесь, применен не совсем корректно - правильнее говорить исследователь (investigator). Но из песни слов не выкинешь.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 24 Апреля 2007, 08:21:03
Цитировать
"С ходом расследования эксперт строит гипотезы и ищет улики, которые подтверждали бы или опровергали их. Важно, чтобы эксперт искал и опровергающие улики, не ограничиваясь подтверждающими."
Учитывая, что ВС запрещает экспертам давать юридическую оценку, то точнее и правильней было бы говорить - эксперт в ходе своего исследования восстанавливает объективную картину произошедшего.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Николай Николаевич Федотов от 24 Апреля 2007, 10:07:17
Цитированное утверждение не основано на законе. Запрета на использование указанных программ и оборудования в судебных целях не существует.
Как это нет? Используя контрафактные программы при производстве экспертизы, эксперт, по существу сам совершает преступление. Неужели у нас в законе указан специальный субъект по таким преступлениям: т.е. все кроме экспертов?
Ст.75 УПК; ст.23 ЗоАП.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: pvp от 24 Апреля 2007, 14:30:32
Ребята!
На основе своей и Вашей практики по КП хочу сделать хороший анализ проблем, возникающих в процессе расследования компьютерных преступлений.
Поможете мне его сделать?
Охотно помогу. Вот мой краткий примерный, после редактуры (убраны, в основном, призывы к массовым расстрелам):
1. Научным работникам, когда они хотят задаться вопросом о проблемах расследования компьютерных преступлений, стоит узнать хотя бы половину ответа на него. Без этого невозможно сформулировать сам вопрос. В нашем случае это -- примерная разбивка по собственно ситуациям, в которых совершаются такие "преступления". Что-то мне подсказывает, что подавляющее большинство из них попадут в перечень типовых. Например, дуэт из статей 146 и 273, скорее всего, будет означать, что опера повязали человека, установившего что-то контрафактное с кряком. 272 -- скорее всего, "перепрошивка телефонов". 272+165 (по вкусу 183) -- "халявный интернет".
Подавляющее большинство встретившихся мне документов и сообщений в прессе касаются этих типовых ситуаций. По-моему, плясать стоит начать именно отсюда.
2. ... после чего станет ясно видна основная проблема -- нежелание ментов читать законы, и даже получать о них приблизительное представление. Подкрепленное таким же нежеланием судейских работников. Вкупе с нарушениями, не связанными с компьютерами (например, некритическому отношению к заявляемым правообладателями размерами ущерба по "пиратке": рекорд этого форума -- кажется, девять миллионов "ущерба" за один диск).
3. ...с этим связаны такие проблемы, как отказы в принятии заявлений, и вообще высокая степень латентности компьютерных преступлений: операм на фиг не надо ничего расследовать: проще позвонить по первому попавшемуся объявлению о "компьютерных услугах", развести человека на установку чего-нибудь пиратского и повязать на "контрольной закупке".

Да, и на случай ваших возражений о том, что, мол, это не совсем то, о чем вы хотели узнать, задавая этот вопрос, расскажу об итогах недавнего ознакомления с плодами нашей гуманитарной науки. Как-то пришлось перечитать большую кучу научных статей, авторефератов и прочего барахла, выложенного в Интернете. В целом -- отмечена их слабая связь с окружающей действительностью: например, такая вещь как "ботнет" не упоминалась ни в одной работе. А ведь это -- самый массовый способ совершения преступлений на сегодня. Причем программы, из которых состоит ботнет, не попадают, по-моему, ни под одну из супер-пупер "классификаций вредоносных программ", которых афтары работ наплодили в изобилии: все эти "троянские кони" и "логические люки" идут лесом: задача автора ботнета -- не доступ к информации на зараженном компьютере, а пользование его вычислительными ресурсами.
В общем, сейчас есть три вида "компьютерных преступлений" -- те, что есть на самом деле, те, что изучает наша "гуманитарная наука", и те, что рассматриваются в судах. Но это, в основном -- независимые понятия. Так что после того, как вы узнаете ответы на заданные вопросы, ни на что полезное полученную информацию использовать вы не сможете. Подумайте: а зачем множить энтропию?


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 24 Апреля 2007, 16:34:25
Цитировать
а зачем множить энтропию?
В связи с тем, что Вселенная расширяется, энтропия в каждом отдельном объеме пространства уменьшается. Тут что быстрее... ;) ;D


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Николай Николаевич Федотов от 25 Апреля 2007, 00:51:03
В общем, сейчас есть три вида "компьютерных преступлений" -- те, что есть на самом деле, те, что изучает наша "гуманитарная наука", и те, что рассматриваются в судах. Но это, в основном -- независимые понятия.
В самую точку, блин!

А что предпочтительнее: тянуть "науку" к действительности или судебную практику к науке?


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: CyberCop от 25 Апреля 2007, 08:43:20
А что предпочтительнее: тянуть "науку" к действительности или судебную практику к науке?
    Видимо, более предпочтительным была бы золотая середина: "строить" науку на положительном опыте практики, подводя под него законодательный базис и, с течением времени, реформировать его.  ;)


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Андрей С.В. от 25 Апреля 2007, 08:56:17
CyberCop, Николай Николаевич, вы же знаете нашу практику...и какой она бывает! Так может стоит практику приближать к науке, чем науку подстраивать, притягивать под практику! Слабо представляю, например, беспредел в науке ;) ;D


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 25 Апреля 2007, 11:25:50
Слабо представляю, например, беспредел в науке ;) ;D
Юриспруденция. Слышали поговорку:
"Два юриста-  три мнения"
 ;D


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: gur от 25 Апреля 2007, 14:39:32
1. Научным работникам, когда они хотят задаться вопросом о проблемах расследования компьютерных преступлений, стоит узнать хотя бы половину ответа на него. Без этого невозможно сформулировать сам вопрос.
Ой что вы, что вы…  ;)
Слишком плохо меня знаете! Как вы думаете ВС, ВАС, КС, обобщая судебную практику и анализируя проблемы, тоже бестолковой научной работой занимаются?
Просто вы наверное не понимаете сути вышеуказанных проблем и практического применения их разрешения? Тогда так и скажите. Так, я помню на КИБе представитель одной авторитетной компании в сфере Интернета заявил: а нафига нам вообще регулировать противоправный контент? Я поняла, что чел просто не в теме и никогда с этим не сталкивался поэтому и не понимает зачем. Я тоже не понимаю проблему СПАМА, например (просто с этим не сталкивалась), так я и не участвую в дискуссиях по этому поводу между прочим.
Вернусь к вопросу зачем?  Неужели не понятно зачем юристу знать все «косяки» и решения проблем на основе анализа практики? Простой пример: чтобы обжаловать любое действие/бездействие ПО, специалиста, эксперта на чем по Вашему юрист должен основываться? Так, например, благодаря замечаниям по КТЭ, которые сделал хороший специалист этого форума, я смогла её обжаловать, повторная была качественной и дала хорошие результаты по делу. Это НАУКА?
Я за практику и использование научных знаний в практике!  :D


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 25 Апреля 2007, 14:58:38
Цитировать
Как вы думаете ВС, ВАС, КС, обобщая судебную практику и анализируя проблемы, тоже бестолковой научной работой занимаются?
Ага! Иначе суды результаты их работы применяли бы в своей практике.
Цитировать
Так, например, благодаря замечаниям по КТЭ, которые сделал хороший специалист этого форума, я смогла её обжаловать, повторная была качественной и дала хорошие результаты по делу. Это НАУКА?
Любая экспертиза - это прежде всего маленькое (иногда и большое) научное исследование. В среде научных работников Академии Наук России если кото-то поймали на рукоблудии, то обычно это заканчивается для пойманного большими моральными "канделябрами". А вот те же исследователи, действующие "под крышей" ПО, почему-то спокойно могут делать любую пакость. Наверное, "крыша" их развращает.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: gur от 25 Апреля 2007, 15:10:06
Ага! Иначе суды результаты их работы применяли бы в своей практике.
Нижестоящие суды применяют. Я даже больше скажу: если судья "не шарит" в каком-либо вопросе, то он поднимает судебную практику, Постановления Пленумов и т.д., а потом уже законодательство. Так, один из судей Арбитража г. Москвы мне как-то заявил: а где Ваша нотариально удостоверенная страница сайта? Я спросила: а где это у нас в законе установлено? на что она мне просто ответила: зато у нас есть арбитражная практика... ну и т.д.  ;)
Бывают вообще прикольные случаи когда стороны по одному и тому же вопросу приносят противоположную судебную практику... вот здесь судьи вообще в полный аут приходят...  ;D


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Igor Michailov от 25 Апреля 2007, 16:02:02
Я даже больше скажу: если судья "не шарит" в каком-либо вопросе, то он поднимает судебную практику, Постановления Пленумов и т.д...
Может быть уважаемый оппонент напомнит мне номер и дату постановления Пленума Верховго Суда России по статьям 272, 273, 273 УК?


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: Urix от 25 Апреля 2007, 16:40:26
Цитировать
Бывают вообще прикольные случаи когда стороны по одному и тому же вопросу приносят противоположную судебную практику... вот здесь судьи вообще в полный аут приходят...
Буриданов осел, как известно, сдох от голода... Судьям его участь не грозит.


Название: Re:Анализ проблем расследования компьютерных преступлений
Отправлено: gur от 25 Апреля 2007, 22:28:03
Может быть уважаемый оппонент напомнит мне номер и дату постановления Пленума Верховго Суда России по статьям 272, 273, 273 УК?
Вот именно что нет такого. Не зря я задалась целью обобщить и проанализировать.  ;)
может подготовим проект?   ;) :D