Форум ''Интернет и Право''

Доброе время суток!
Суть дела:
С моего компьютера, имеющего выход в И-нет через провайдера посредством радиосети, был осуществлен (и неоднократно) неправомерный выход.
Авторизация у прова происходит в два этапа:
1. Проверяется мой логин и пароль (прошиты в настройках радиокарточки)
2. Проверяется пара - IP и MAC адреса.
Если все соответствует, то выход в И-нет открыт, если проходит только первый этап, то машина способна увидеть только те машины, которые зарегистрированы на радиобазе (эдакая "локалка" получается)
Проблема заключается в том, что этап 1 проходит всегда, а вот на втором этапе.... периодически пара IP и MAC адресов ИЗМЕНЯЛИСЬ!!!
Вся процедура входа в сеть автоматизирована и изначально настроена провайдером. Комп входит в сеть при включении и остается там все время работы (а работал он у меня сутками)
В результате подмены адресной пары оплату за траффик производили другие пользовтаели (кстати, моя пара там тоже пробегает).
За компом работал ТОЛЬКО я, жена не всчет - с Вордой справляется еле-еле.
Провайдер - нет что б разобраться в проблеме - обратился в органы. Сейчас (на праздниках) предъявили обвинение.... все перечитываю обвинительное заключение.
Чушь какая-то..... На мои доводы, что у меня есть свидетель, у которого мы были на дне рождения, в то время как осуществлялся выход в И-нет под чужими данными (по логам с сервера провайдера), все закрывают глаза!!!
О том, что выход в И-нет был осуществлен после того, как у меня изъяли комп и пров ОТКЛЮЧИЛ меня (изъят и отключен 21/12/04, выход 16/03/2005 с 17 до 18ч. по статистике) даже слушать не хотят!!!!
А тот факт, что кражи траффика не прекратились - ни кого не волнует!!!
КАК доказать, что к изменению адресной пары Я НЕ ИМЕЮ ОТНОШЕНИЯ????

Сам считаю, что эти изменения были проведены со стороны (а может и программно?) и машина использовалась как шлюз, т.е. некто, подцепляясь к моей машине, выходил через меня в И-нет (благо для этого урода - машина находится в сети почти сутками и без присмотра).
При экспертизе были найдены программы:
1. SMAC (была установлена примерно в одно время с драйверами, суть ее я не понял - отображала текущее соединение - мои MAC и IP адреса (сейчас обяснили =8-(( ), во избежание проблем с радиокартой не тронул (а зззря!)
2. Cain&Abel - я ее использовал для восстановления своих же паролей для доступа к сайтам, где уже был зарегистрирован (иногда там почему-то меня не узнавали, а пароли не имею привычки запоминать, если есть возможность автоматической авторизации)
3. EssentualNetTools (могу ошибиться в точности названия) - использовал для сканирования своего сегмента сети, в случаях несанкционированного доступа из сети, когда ругался ZoneAlarm. Все результаты сканирования (10 отчетов) были сохранены в папке "Мои документы" для последующей передачи провайдеру, в случае утечки денег с моего счета или при других проблемах работы с сетью.

В соответствии с логами сервера пара адресов менялась круглосуточно, т.е. в разное время дня и ночи. Ночью я компом точно не пользуюсь (гашу монитор и отрубаю акустику), т.к. установлен он в комнате у ребенка (3 года). Работает только системник (мат. расчеты, дефрагментация диска, обжатие видео).

Люди! Помогите добиться правды!!! Я мог договориться с экспертом (через общих знакомых), заплатить и разойтись на "мировую", но я хочу быть честным до конца!!!!

На закуску пара вопросов:
1. Должен ли эксперт иметь соответствующую лицензию?
2. Как показать в суде, что удаленный доступ позволяет осуществлять сам WindowsXP, без приминения других программных продуктов?
3. Являются ли IP и MAC адреса охраняемой законом информации? (и являются ли они коммерческой тайной?)
4. Как лучше использовать свое алиби (человека с днем рождения)?

ЗЫЖ Уголовное приследование в отношении меня по данному делу уже прекращалось. Следователь военной прокуратуры (на момент "совершения" преступления я был военнослужащим), основываясь на показаниях эксперта, полученных в ходе допроса, установил, что доступ в радиосеть возможен со стороны, так же возможен радиоперехват информации и приминение ее в целях искажения данных о реальном пользователе.

Если следователь отказывается принимать во внимание факты, свидетельствующие о невиновности/непричастности, то это проблема не техническая и даже не вполне юридическая.


Нет, не должен. Таких лицензий не существует.

Заслушать показания эксперта.

Нет, не являются.

Приобщить его показания к уголовному делу, допросить в суде.

 Дело в том, что следователь мне сообщила - перед ней поставлена задача: не весить глухаря на отдел - либо дело должно пойти в суд, либо я должен был признать вину, возместить причиненный ущерб и прекратить данное уголовное дело по примирении сторон.
  Второй вариант меня не устраивает, т.к. просто так я не могу выбросить 10 (а точнее 15) тысяч деревянных - у меня их просто нет! К тому же, есть сведения, что подобно прикращенные дела сейчас у нас возобновляют, в связи с проверками.

Но в таком случае - как проверить, может ли данный человек проводить экспертизу. В моем случае - эксперт 1977 г.р., образование высше (какое именно - ???), опыт работы с компьютерной техникой 8 лет, стаж работы в должности инженера ИВЦ при железной дороге 5 лет.

Эксперт в своем заключении говорит: "Настроек либо программ необходимых для удаленного управления компьютером не обнаружено"
И вообще - эксперт отвечает на поставленные мной вопросы либо отрицательно (не в мою пользу), либо изменяя суть вопроса, либо "Вопрос поставлен некорректно, в связи, с чем ответить на него не представляется возможным" (такой ответ дан на мой вопрос: "Возможно ли использование программ, указанных в заключении эксперта, в радиосети с данного компьютера в целях неправомерного доступа в сеть Интернет?")

А конкретнее можно? Я тоже, как юрист и программист в одном флаконе это знаю, но.... как бы это изящнее объяснить судье, чтоб не обидеть.
Цитирую обвинительное заключение:
"   Такие действия zampolit'а, то есть неправомерный (не санкционированный правообладателем) доступ к охраняемой законом "Об информации и защите информации" от 20.02.1995г. №24-ФЗ, ст 139 ГК РФ "Служебная и коммерческая тайна", Указом Президента РФ от 06.03.1997 №188 "Перечень сведений конфиденциального характера" компьютерной информации, а именно информации о сетевых реквизитах - MAC-адресах (... далее указаны сами адреса и их владельцы...), повлекли ее блокирование и нарушение работы сети ЭВМ провайдера, выразившиеся в невозможности подключения законных пользователей к сети Интернет и в искажении данных о принимаемой информации."
   Далее идет привязка к ст.165 УК РФ.
"  Кроме того, воспользовавшись путем обмана для работы в сети Интернет  MAC-адресами законных пользователей платной провайдерской фирмой, zampolit, не имея умысла на хищение чужого имущества, причинил собственникам имущественный ущерб."
  Здесь я отмечу, что провайдер возместил убытки всем, у кого снимались деньги со счетов.
  Брать показания этого свидетеля следователи не соизволили, остается допрос в суде... Кстати, на изъятом системнике есть фотографии цифровиком с этого дня рождения. Хотя... следователь военной прокуратуры этот довод отверг, мотивируя тем, что дату и время съемки можно и изменить. Можно выдернуть других свидетелей (с фото), но мы уезжали последними - нас проважала только виновница торжества.

  Еще один интересный момент: компьютер несколько раз переименовывался, причем были использованы имена как компьютеров, входящих в сеть, так и левые имена. Эксперт делает заключение: "Возможно, что применяя данные параметры, zampolit также неправомерно входил в сеть Интернет."

И еще пара вопросов
1. Как расшифровать записи в логе ZoneAlarm'a? Интересуют такие события, как FWOUT, FWIN, PE. Дело в том, что в логах есть записи свидетельствующие о попытках доступа на компьютер извне.
  На мой вопрос, поставленный перед экспертом: "Имеется ли на жестком диске, представленного компьютера информация, свидетельствующая о попытках неправомерного доступа на данный компьютер?" эксперт дает свое заключение: "Информации свидетельствующей о попытках неправомерного доступа на данный компьютер не обнаружено."
  В заключении эксперта есть распечатки логов.
 
2. Есть ли возможность использования компьютера, включенного в сеть в качестве "промежуточного" для доступа в эту сеть? (Мы на работе, к примеру, используем RAdmin, а как это обяснить в суде, если эксперт заявляет, что для этих целей "необходимо наличие второй сетевой карты или модема, подключенного к данному компьютеру и дополнительное программное обеспечение (Proxy Server) или настроенных в ОС утилит предназначенных для этих целей" и здесь же добавляет "однако, все вышеперечисленное отсутствует на данном компьютере")

3. Если кто-то знаком с программкой SMAC - как быстро можно изменить сетевые настройки (MAC-адрес)? По логам с сервера эти изменения порой проводились со скоростью в 20-30 секунд!!! Если требуется перезапускать систему, то это всяко-разно будет дольше!
На этот мой вопрос эксперт ответил, имзенив смысл вопроса: "Смена MAC адреса на представленном компьютере неоднократно проводилась при помощи установленной программы SMAC. Частота замены MAC адресов зарегистрировано в логах сервера провайдера".

ЗЫЖ Читаю протокол допроса эксперта - человек разумный... Смотрю экпертизу - как-будто подменили.... наводит на мысль - "А он ли эту экспертизу стряпал???". И здесь - же вопрос: Обязательным ли условием является изоляция рабочего места эксперта на время проведения экспертизы? В протоколе он не указывает присутствующих лиц - а если он работал в обычном кабинете, где сидят более одного работника? Влечет ли за собой все это недействительность экспертизы?
Кстати - я написал ходатайство о проведении экспертизы в специализированном экспертном учреждении или в научном центре. Получил отказ, мотивированный тем, что я данные вопросы уже задавал, а повода к недоверию к эксперту (в первые проводившему экспертизу) - нет, т.к. он "имеет 8 лет опыта работы с компьютерной техникой".

Было бы интересно разобраться в вашем деле. Но, к сожалению, изложенные вами сведения немного запутаны и неполны. В такой неясной ситуации я не рискну давать ответы.

Если вам угодно, могу изучить и дать комментарий, но для этого понадобится подробное изложение дела и полный текст экспертного заключения.

По поводу отказа следователя допросить свидетеля - пишите жалобу в прокуратуру и настаивайте. В суде будет поздно.

Мне и самому интересно разобраться в этом деле.... когда я выдавал свой системник,- я так и сказал следователю, что чем смогу всегда рад помочь, тем более, что и сам ранее работал в прокуратуре (многоуважаемый мною Михайлин Геннадий Степанович - Забайкальский транспортный прокурор - планировал меня на прокурора-криминалиста, да не успели... ликвидация аппаратов транспортных прокуратур 31/03/2001)
С радостью возьмусь сканировать имеющиеся у меня материалы дела. Достаточно ли будет обвинительного заключения, экспертизы (повторной), протокола допроса эксперта?
Куда заслать?
  В пятницу попытаюсь заскочить в районную прокуратуру с данным вопросом.
   Предварительное следствие окончено и дело уже передано в прокуратуру, сказали, что суд состоится где-то в конце мая. Мой защитник сразу сказал, что в прокуратуре вникать в суть дела никто не будет. Думаю сходить к своим, в прокуратуру (областную и транспортную) и в суд - пусть, по знакомству, челом бьют, чтобы к делу отнеслись серъезнее - изучили все материалы.

Случай тяжелый.  :(

Николай Николаевич, Вы бы взялись ответить на вопрос (в рамках заключения эксперта):
"Возможно ли использование программ, указанных в заключении эксперта, в радиосети с данного компьютера в целях неправомерного доступа в сеть Интернет?"?

Я еще предположу, что был такой эксперт, который понял "радиосеть" в ретро-смысле, потому и ответ такой...

Да-да. Сам термин "радиосеть" можно истолковать двояко (если не трояко). Ведь есть еще и проводное радио - чем не "радиосеть".


Мне больше приколол термин "неправомерный доступ". Чего-ж тогда эксперту  в выводах рассусоливать. Сразу писать - Виновен. Посадить на три года.

Четко, Ясно и Понятно всем участникам процесса.

Перечитал статьи и обсуждения по теме "О доказательственном значении лог-файлов" и что-то легче стало на душе!
   Все логи (точнее выдержки из логов) были изготовлены и переданы следствию ПРОВАЙДЕРОМ. Сервер у них никто не осматривал, и тем более не изымал/опечатывал. Причем эти записи были переданы до возбуждения уголовного дела в отдел "К" вместе с заявлением, что некто, под логином zampolitа пользуется И-нетом, применяя сетевые настройки других пользователей. Дальше эти записи пополнились до дня изъятия у меня компьютера.
   Вопрос по ситуации - можно ли использовать эти сведения в качестве доказательства????
   Все основные выводы эксперт делает на основании этих данных (выдержек из лог-файлов) примерно следующим образом:
  "По логам программы ZoneAlarm, установленной у пользователя, видно, что пользователь zampolit выходил в Интернет такого-то числа с 20 до 23 ч. В это же время, по данным лога, на сервере провайдера был только один пользователь zampolit, который в период с 21 до 23 ч. перерегистрировался, изменив свой MAC-адрес на MAC-адрес пользователя pupkin".
  Причем в логах "от провайдера" показано, что pupkin тут же регистрируется неудачно, а следующей секундой его регистрация проходит успешно. В последующих записях лога фигурирует только пользователь zampolit (с MAC-адресом pupkin'a), а pupkin уже не просматривается. (Может такая "удачная" выборка????)

Итого - на повестке дня два вопроса:
1. Можно ли в данном случае признать представленные логи доказательсвтом?
2. Является ли вообще в данном случае экспертиза правомерной?

И на закуску - можно ли признать лог-файл провайдера доказательством сейчас, если соблюсти все формальности, учитывая тот факт, что лог-файл постоянно изменялся на протяжении всего времени, включая настоящее время?

ЗЫЖ: отсканировал в FineReader'e все материалы по делу - объемчик вышел ОГО-ГО!!! Распознать нет возможности - качество копий не фонтан - оставил в картинах (серых - так лучче видно;-) ) Самые интересные моменты из заключения эксперта могу попыхтеть и набрать. Само заключение небольшое - в основном картинки (скриншоты). Кстати, - а не является ли это нарушением предъявляемых требований к заключению эксперта - все картинки по ходу экспертизы, а должны быть в приложениях?

   Вот накидал вопросы для эксперта в суде. Получилось, по-моему, слишком много. Прошу посмотреть, высказать свое мнение, исключить лишние, выстроить их в более оптимальном порядке. В некоторых вопросах я дал пояснения.  

1. Ваше образование?
2. Чем Вы можете подтвердить свою квалификацию?
3. Обладаете ли Вы достаточными знаниями в области сетевой безопасности для того, чтобы проводить экспертизы подобного рода?
4. Доводилось ли Вам ранее проводить компьютерные-технические экспертизы? Выступать в роли специалиста?
5. От кого и каким образом Вы приняли поручение о производстве экспертизы?
6. Что Вам было передано для проведения экспертизы (предметы, документы)?
7. Каким образом проводилась экспертиза?
8. С помощью каких программных и технических средств Вы проводили экспертизу?
9. Является ли Ваше программное обеспечение лицензионным? (представьте номера лицензий каждого продукта)
10. На основании чего строилось Ваше заключение?
11. Каков уровень владения иностранными языками (конкретно - английским)?
12. Считаете ли Вы себя компетентным в переводе описания программ с английского языка на русский? (Если «Да», то каким образом слово recovery, что в соответствии с англо-русским словарем переводится как “восстановить”, в Вашем переводе означает “взломать”, которому в английском языке соответствует слово crack или hack?)
13. Являетесь ли Вы специалистом в расшифровке лог-файлов программы ZoneAlarm?
14. Объясните, как определяются события, которые записаны в лог-файле программы ZoneAlarm в виде FWOUT, FWIN, PE и следующими далее параметрами?
15. В своем заключении Вы указали, что по записям в лог-файле программы ZoneAlarm Вы нашли информацию, о том, что пользователь использовал указанные в заключении программы. Каким образом это видно? Какие именно программы использовались? Использовалась ли программа SMAC?
16. Если использование программы SMAC не было отображено в лог-файла программы ZoneAlarm, то каким образом Вы делаете заключение о том, что смена MAC адреса производилась, и именно этой программой?
17. Почему Вы утверждаете, что информации о попытках неправомерного доступа на данный компьютер не обнаружено? Не указана ли эта информация в лог-файле программы ZoneAlarm? Уточните, что означает событие FWIN.
18. Вы указали, что настроек или программ, необходимых для удаленного управления компьютером не обнаружено. Какие именно программы Вы знаете? Какие настройки Вы проверяли?
19. Имеет ли установленная операционная система WindowsXP Pro средства удаленного доступа и управления? Проверили Вы их настройку? Каким образом?
20. В установленной ОС имеется учетная запись по умолчанию, позволяющая получить доступ на уровне администратора? Она включена? (а она, черт побери, ВКЛЮЧЕНА!!! Я это точно знаю!!!! Сам ей пользовался, т.к. комп однажды подзагнулся и с моей учетной записью  не запускался - пришлось входить как <administrator>)
21. В своем заключении Вы сказали, что для того, чтобы использовать данный компьютер в качестве промежуточного, необходимо дополнительное оборудование и специальное программное обеспечение, или настройка встроенных в ОС утилит предназначенных для этих целей. Вам известно, что данный компьютер имеет встроенную сетевую карту? Почему Вы утверждаете, что на компьютере нет дополнительного оборудования? Какие программы для подобных целей Вам известны? Какие настройки ОС и каким образом Вы проверяли?
22. В заключении Вы абсолютно исказили смысл вопроса: «С какой скоростью возможна смена MAC-адреса» и ответили на придуманный Вами вопрос «С помощью какой программы и как часто производилась смена MAC-адреса». Ответе на поставленный перед Вами вопрос: «С какой скоростью возможна смена MAC-адреса»
23. Вы утверждаете, что смена MAC-адреса проводилась при помощи программы SMAC. Какими фактами это подтверждается?
24. Поясните: что такое MAC-адрес и IP-адрес и в чем их отличия? Возможно ли на самом деле изменить MAC-адрес? Если да, то как? Если программой SMAC, то: Каким образом это делает программа SMAC?
25. В заключении Вы проигнорировали поставленный перед Вами вопрос: «Возможно ли использование программ, указанных в заключении эксперта, в радиосети с данного компьютера в целях неправомерного доступа в сеть Интернет». Я прошу Вас ответить на данный вопрос, так как Вы утверждаете в своем заключении что «обнаруженные программы для поиска и расшифровки паролей, а также сканирования сетей активно использовались»
26. Зачем пользователю проводить поиск и расшифровку паролей? (если они не требуются для получения доступа в сеть)
27. Какое отношение имеют найденные программы к неправомерному доступу в сеть в данном случае?
28. В заключении вы указали, что «на жестком диске обнаружены IP и MAC-адреса других пользователей провайдера». В штатном режиме работы в сети данная информация может оказаться у пользователя? Если нет, то как объясните работу стандартной команды Windows <arp -a> и выдаваемую по этой команде информацию?
29. Можно ли встроенными средствами Windows получить информацию о пользователях, находящихся в сети? (IP/MAC адреса, имена пользователей/компьютеров). Является ли данная информация доступной для третьих лиц?
30. Возможен ли доступ к информации, передаваемой и принимаемой беспроводной сетевой картой третьими лицами? (стр. у/д 150 - ответ «ДА»)
31. Возможен ли доступ к компьютеру, на котором установлена беспроводная сетевая карта третьими лицами?
32. Возможно ли выявить сетевые настройки посредством перехвата радиосигнала?
33. Возможно ли нахождение в сети двух пользователей с одинаковыми MAC-адресами? (стр. у/д 262 - распечатка лога с сервера - два пользователя с одним MAC - адресом!!!!)
34. Что такое лог-файлы? Возможно ли исправить лог-файлы? Возможно ли произвольное изменения лог-файлов в результате сбоя в работе оборудования? (А сбоев в работе сервака было вал!!!)

   Ответы на эти вопросы уже в зубах навязли. Каждый раз мне их пытаются задать на этапе предварительного следствия :)  Причем почему-то вовсе не следователь, а подследственный. Соответственно, выкладываю FAQ:
1) Высшее. Какое именно - вас не касается.
2) Я ее подтверждать не должен. Закон на меня такой обязанности не возлагает. Следователь и суд с этим согласны.
3) Обладаю.
4) Доводилось. Много раз. Только не в роли - тут не театр - а в качестве специалиста.
5) От следователя Пупкина. Под расписку.
6) Я об этом подробно написал в заключении. Могу процитировать - то-то, то-то и то-то.
7) Я об этом подробно написал в заключении. Могу процитировать - так-то и так-то.
8) Я об этом подробно написал в заключении. Могу процитировать - такими-то и такими-то. Естественно, ваш эксперт мог пользоваться другими программами, поэтому тут не перечисляю.
9) Является. Доказательство этого факта в мои обязанности не входит по закону. Кстати, а лицензия на право задавать вопросы у вас есть?
10) На основании данных, полученных в ходе исследования.
11) По-английски - свободно читаю и могу объясниться.
12) Считаю себя вполне компетентным. Английское слово recovery представляет из себя термин. А термин не обязательно переводится буквально. Например, словосочетание password recovery вполне может быть переведено, в зависимости от контекста, и как восстановление пароля, и как взлом пароля.
13) Таких специалистов не существует вовсе. Знание принципа расшифровки лог-файлов является частью моих специальных познаний.
14) Полностью - смотрите инструкцию по ZoneAlarm. Кратко: FWIN - попытка подключения к компьютеру извне, FWOUT - попытка некоей программы на компьютере выйти в сеть.
15) В описании события FWOUT в ряде случаев указывается в явном виде программа, получавшая доступ в сеть.
16) А кто сказал, что заключение сделано только на основании лог-файлов ZoneAlarm? Эксперт вполне мог сделать заключение на основании лог-файлов самой программы SMAC или чего-то еще.
17) Не обнаружено - значит не обнаружено. Нигде никаких признаков этого не имеется.
18) Сперва пробовал отвечать на такие вопросы. Прерывался судьей - "Не надо, мне это неинтересно, я вам верю". Теперь не отвечаю, отсылаю к литературе.
19-22) Заключения не видел, так что прокомментировать не могу. Правда, не совсем понятно, к чему эти вопросы.
23) Например, лог-файлами самой программы. Более точно наверняка изложено в заключении.
24) Изменяется не MAC-адрес сетевой платы, а соответствующее поле в направляемых в сеть пакетах. Делать это умеют многие программы, и вовсе не только SMAC.
25) Если и вправду проигнорировал - ату его! Потому что вообще-то такое использование вполне возможно.
26) Вопросы о мотивах и целях в компетенцию эксперта заведомо не входят. Это прерогатива следователя и суда.
27) Я об этом подробно написал в заключении. Могу процитировать - такое-то и такое-то.
28) Ответ сильно зависит от того, где именно на жестком диске такие данные были обнаружены. Если в файле подкачки - одно, а в отдельном текстовом файлике - совершенно другое. Кстати, arp-таблица на диск вообще не кешируется.
29) В ряде случаев можно. Вообще это сильно зависит от топологии сети и применяемых протоколов.
30-34) Читайте статью 235 УПК РФ, она очень интересная. От вас требуется не принципиальная возможность проделать что-то, а доказательство того, что это было проделано.

   Так что сомневаюсь, что эти вопросы сильно помогут...

Вообще-то "в целях" возможно использование любых программ, даже программы "helloworld.exe"

Присылайте все картинки мне на е-мейл или выкладывайте на форум. Подумаем, выскажем мнение, укажем на недостатки и нарушения. Но как это мнение к делу пришить - вопрос. Сразу предупреждаю, что ваше заявление на суде "Известный и авторитетный московский специалист Федотов полагает, что выводы эксперта содержат ошибку и готов это доказать" будет судьёй проигнорировано.

Zampolit'у
Чт-то я сильно сомневаюсь, что судья разрешит Вам задать все эти вопросы в суде. Я так думаю после пятого-шестого Вашего вопроса - суд просто "попросит" Вас прекратить прения.

  Пробегусь по Вашим ответам, уважаемый Игорь, привязав их к конкретной ситуации.
"Не доводилсоь. Экспертизу проводил впервые." (Из протокола допроса эксперта)
Проведение экспертизы было поручено ИЦ ж/д. Соответственно руководитель учреждения назначал эксперта. Так должно быть и  так было при производстве первой экспертизы. Дополнительную экспертизу проводил тот же эксперт (что не возбраняется), но поручение о производстве экспертизы получил непосредственно от следователя. Не противоречит ли это требованиям ст.16 ФЗ «О ГОСУДАРСТВЕННОЙ СУДЕБНО - ЭКСПЕРТНОЙ ДЕЯТЕЛЬНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ», ст.199 УПК РФ?
Подробно написано, что был передан системный блок и постановление о назначении экспертизы. А где же лог-файлы с сервера провайдера???
Цитирую заключение : «Жесткий диск был подключен в режиме Master. Исследование проводилось при помощи ОС Windows 2000»
Чем проводилось исследование поверхности диска - не указано.
Может в этом месте вызвать специалиста? Ну, хотя бы, - студента или преподавателя с ин.яза?
Почему, в таком случае, эксперт толкует событие FWIN, как МОЮ попытку неправомерного доступа?
Вот лог-файлы программы SMAC в заключении эксперта как - раз и отсутствуют. Проводится анализ ТОЛЬКО логов сервера и ZoneAlarm!
Класс! Значит теперь меня и за изнасилование привлекут!!! Аппарат-то есть, и работоспособный (киндер тому подтверждение)!
Вопросы к тому, чтобы выяснить возможность изменения сетевых настроек из сети. Если я не менял, жена работать не умеет, за компом никто не сидел (ни разу?!), то КАК МОЖНО ОБЪЯСНИТЬ всю эту свистопляску с IP и MAC адресами???
НИКАКИМИ. Все что сказано в заключении, цитирую: «Смена MAC адреса на представленном компьютере не однократно производилась с помощью установленной программы (SMAC)»
Пусть это скажет эксперт. В скриншотах с параметрами радио-карты явно указан мой родной MAC адрес!
Просто этот эксперт зациклился на этих программах - он даже AAPR и AZPR (которые у меня стоят со времен работы в прокуратуре - это видно по дате на скриншоте) сюда же приплетает.
Вот то-то и оно, что результаты сканирования сети программкой EssentialNetTools сохранены в папке «Мои документы» в формате html (всего 10 файлов). Я об этом сообщил следователю еще до заключения эксперта, так же я дал пояснения - для чего я их сохранял.
Как это уточнить? Просить о проведении эксперимента?
Этими вопросами (точнее - ответами на них) ставится под сомнение, то, что ТОЛЬКО Я мог  осуществить действия по подмене MAC-адреса.
Остается только надежда.
Ваши советы?

   Вам как «неоднократному» эксперту вопрос: как связать тот факт (зарегистрировано в логах сервера провайдера), что использовались MAC адреса неизвестных пользователей? Провайдер объясняет, что данные MAC адреса использовались неустановленными(?!) пользователями, позже эти MAC адреса были изменены(????).

   Что ж, в вашем конкретном случае действительно есть надежда. Эксперт попался явно недостаточно квалифицированный и к тому же наделал массу "детских" ошибок. Теперь надо постараться убедить суд назначить повторную экспертизу со всеми этими вопросами. Если суд согласится - в чем лично я сильно сомневаюсь - все эти моменты всплывут.
   Другое дело, что такие редкостные эксперты всплывают раз в столетие - вторично такой халявы не случится.

Я вот читаю сейчас протокол осмотра произведенного "с участием
специалиста-старшего инженера отдела информационного и компьютерного обеспечения Следственного комитета при МВД России" произведенного в СЧ СК при МВД КФ каб. xxxx
КВН не попадает,а выше приведенный эксперт просто -светило криминалистики.
Могу цитаты привести-там такие перлы  ;D ;D ;D

Marat'у
А чего-ж сразу не привели?
Конечно выкладывайте. Очень содержательный топик получается.

Нам - бы еще сюда опусы экспертов от  effes2004 выложить (если модераторы разрешат).

Все в этой жизни когда-то бывает первый раз. Это не причина сомневаться в компетентности.


Тут надо разбираться более конкретно. Но, в принципе, на Ваш взгляд, что мешает следователю непосредственно назначить экспертизу конкретному эксперту и самому разъяснить ему права и обязанности?  УПК это допускает.


А может в тексте экспертизы мелким шрифтом написано, что дополнительно представлено...?


Видимо имелось в виду, что исследование поверхности проводилось стандартными утилитами входящими в комплект ОС Windows 2000. А что Вас смущает?


Смотри требования УПК - а то в суде засмеют.


Может их эксперт на диске и не нашел?  ;D


Согласен с Игорем.


Ага и за убийство Кеннеди до кучи.


Жизнь вообще иногда выкидывает такие штуки, что закачаешься. Уж поверьте.

Вы лучшему другу киндера не пробовали задавать эти вопросы?  (извините, не в курсе возраста Вашего киндера)
Или подруге жены (работающей "программистом")?



А если бы там был другой МАС - адрес Вы бы сказали, что эксперт исследовал не Ваш компьютер, а соседа Васи.


Все зависит от компетенции (квалификации)  эксперта. Смотри ответ Николая Николаевича про helloword.exe  ;D ;D ;D

Предлагаю системному администратору провайдера надавать по кривым рукам. В принципе Вы не виноваты - у провайдера неправильно настроена систем аутентификации (и это их вина). Но, провайдер не хочет платить свои деньги. МВД - хочет срубить палку...  :(

Ну и темку вы "раздраконили"! Интересно наблюдать! ;)

Со своей стороны, я бы не решился давать какой-либо совет не видя всех материалов уголовного дела... :(
Поскольку, следствие по таким делам базируется на совокупности доказательств... А вы обсуждаете только одно из них... ;)

Это и есть основная ошибка обвиняемых - грешат исключительно на заключение эксперта.  ;)

 А других доказательств просто нет!
Показания потерпевших (как по шаблону), среди которых есть пара интересных:
  В одном потерпевший говорит о том, что у них компьютер, подключенный к сети Интеренет, постоянно перезагружался без их ведома. Программист потерпевшего объяснил, что кто-то из сети Интернет выключает его компьютер. Также он не мог войти в сеть, так как кто-то блокировал доступ.
  Второй потерпевший говорит, что в декабре(!) 2004 года он заключил договор с провайдером, компьютером пользуются и другие сотрудники с разрешения потерпевшего. Около 2-х месяцев назад (?)  их компьютер сломался и был в ремонте, поэтому в настоящее время услугами Интернет они не пользуются. О том, что кто-то использует их реквизиты для доступа в сеть, потерпевший не знал, но в период с сентября(!) по декабрь(!) 2004 года выйти в сеть Интернет не могли по непонятным причинам. Работники провайдера ему пояснить ничего не смогли. О том, что со счета снимаются денежные средства за Интернет, он не замечал, так как при подключении оплатили большую сумму.
(НЕ ПОНЯЛ!!!! Договор заключили в декабре 2004 года, а работать пытались с сентября по декабрь. Мне лепят то, что незаконные выходы начались с 3 ноября!!!!!! НЕ СРОСТАЕТСЯ!!!!!!)
По-поводу логов: в экспертизе первое упоминание о логе от провайдера появляется при сравнении логов. Цитирую это упоминание: "Лог с сервера провайдера:".
Далее идет распечатка выдержек из лога, и ниже, цитирую с точностью до запятой и восклицательного знака: "Из вышеприведенного примера можно сделать вывод, что пользователь несколько раз менял IP- и MAC- адреса (следовательно - тратил деньги других пользователей, работая в сети с их сетевыми параметрами!)"
Это какими-же стандартными утилитами из комплекта Windows 2000???  Экспертом используется программа просмотра (редактирования) поверхности диска (что-то типа DiskEdit'а).
А смущает то, что применяемый инструмент не указан (и какие права на его использование имел эксперт).
Дык вроде бы процесс-то на РУССКОМ языке ведется. А эксперт описание программ толкает на английском. Кстати, там один из потерпевших - китаец (правда провайдер ему ущерб возместил, и он (китаец) ни к кому притензий не имеет)
Хорош (со стороны обвинения) эксперт - ищет то, что ему скажут и находит то, что ему укажут.
Сыну - 3 (три) года исполнилось в марте. Подруга жены (кстати, жена сказала, что один-два раза она была за компьютером) преподает социальную педагогику (или психологию), друг ее - опер в ФСБ (что-то там с сектами связано), и именно они являются свидетелями, у которых мы задержались на дне рождения, во время "несанкционированного подключения".

Кстати, по поводу админа провайдера - он заявляет (как свидетель на допросе): "Несанкционированно подключиться к серверу радио-доступа, не зная имен пользователя и пароля, а также не будучи включенным в фильтр соответствия IP и MAC-адреса не возможно, так как записи передаются по радиоканалу в зашифрованном виде (128 bit - ключ)".
  Во-первых: ПОДКЛЮЧИТЬСЯ К СЕРВЕРУ радио-доступа МОЖНО (это так и происходит) зная только ИМЯ и ПАРОЛЬ пользователя, IP и MAC-адреса здесь ни причем. Кстати по-поводу пароля еще БОЛЬШИЕ вопросы: 1) даже я не знаю собственного пароля; 2) а есть ли он вообще, этот пароль????   Одна строчка из лога сервера, кто знает пусть расшифрует: "Wed Nov 3 23:36:03 2004 Auth: Login OK: [zampolit/<no User-Password attribute>] (from client 10.16.0.254 port 373 cli 000d29e0323f). Что значит запись <no User-Password attribute> ?? Она фигурирует во ВСЕХ записях лога...
  Во-вторых: может ли применяться 128-битное шифрование? Как мне сообщил мой старый товарищ из развед.управления округа, в круг обязанностей которго входит и сетевая безопасность,- РАЗРЕШЕННЫМ является 32-битное шифрование (на счет 64-битного он пока усомнился). Т.е. 128-битное шифрование НЕ РАЗРЕШЕНО, или на это должны быт соответствующие документы.

ЗЫЖ В общем - в этом деле очччень много не понятного, особенно мне :(

Вот Вам уже 5 протоколов допросов - 5 самостоятельных доказательств! А Вы говорите, что кроме заключения эксперта нет никаких... ::) ???

Статья 74 УПК РФ. "Доказательства"
1. Доказательствами по уголовному делу являются любые сведения, на основе которых суд, прокурор, следователь, дознаватель в порядке, определенном настоящим Кодексом, устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию при производстве по уголовному делу, а также иных обстоятельств, имеющих значение для уголовного дела.
2. В качестве доказательств допускаются:
1) показания подозреваемого, обвиняемого;
2) показания потерпевшего, свидетеля;
3) заключение и показания эксперта;
3.1) заключение и показания специалиста;
4) вещественные доказательства;
5) протоколы следственных и судебных действий;
6) иные документы."

(с украинским акцентом)
А я про шо ж бачил...

Программист со слов потерпевшего. Его (программера) допрос отдельно ни где не фигурирует. А на уровне слухов, Вы и сами знаете,- в сад такие сведения.

  Не спорю, но все обвинение строится на заключении эксперта. Если его выбить - все дело рассыпается. ТАКОГО НЕ ДОЛЖНО БЫТЬ!
  Нет, я понимаю, что мы в свое время тоже делали финт ушами, в результате которого соучастник (коротко - два дембеля выкинули из поезда третьего, "свидетель" открывал и держал выходную дверь в тамбуре...) превращался в единственного(!) свидетеля, но тут - админ - который сам же наделал кучу дыр...

  Короче говоря - я отправил материалы дела Николаю Николаевичу. Посмотрим,- что он скажет.

Интересно:
1. кто и как подписывал постановление об отмене постановления о прекращении уголовного преследования, если оно выглядит как черновик (с вклиниваниями текста в заголовок от руки), если зам прокурора (ОН там указан) пишет, что ОН: "установилА" и "постановилА"??
2. Как воспримет суд протокол допроса потерпевшего (генерального директора провайдера), если в этом протоколе изменена дата отключения меня от сети? (при ознакомлении с материалами дела я переспросил следователя - почему потерпевший говорит, что меня отключили от сети 16/12/2004, если выходы зарегистрированы до 21/12/2004, после чего, поулыбавшись друг-другу, я оставил бумагу на копирование отмеченных листов дела и ушел; получив через пару дней копию дела, и внимательно их перечитав дома я увидел, что дата отключения меня от сети исправлена с 16/12/2004 на 21/12/2004 - число 16 зарисовано ручкой и стоит число 21, при это отметки потерпевшего, подтверждающей изменения в протоколе НЕТ, да и в любом случае исправления и дополнения потерпевший должен был изложить ниже!).
3. Как воспримет суд заключение эксперта (закроем глаза на то, что все картинки входят в само заключение, а не приобщены к нему как приложения), если оба заключения (и первое и дополнительной экспертизы) начинаются АБСОЛЮТНО ОДИНАКОВО: " На основании постановления следователя .... от "24" декабря 2004 года...."? Лично меня напрягает то, что первая экспертиза была проведена на основании постановления от "24" декабря 2004 года с 24/12/2004 по 08/02/2005, а вторая назначалась в апреле 2005 и проводилась с 12/04/2005 по 18/04/2005. Таким образом видно, что заключение эксперта (особенно доп. экспертиза) написано формально. Более того - заключения эксперта ничем не отличаются, кроме отрицательных ответов на мои доп. вопросы. На вопросы следователя (инициатива доп. экспертизы исходила от него) ответы также даны "туманно" и в обеих экспертизах АБСОЛЮТНО ИДЕНТИЧНЫ.

ЗЫЖ Сейчас не поленюсь и набью оба вывода эксперта с вопросами. Посмотрите сами.

Повторюсь еще раз - мне представляется , по изложенным фактам, что Вы не виновны. Просто провайдер не хочет возмещать вред из своего кармана, а хочет из Вашего.

Второй день с большим интересом изучаю материалы дела. Если товарищ Замполит не возражает, сегодня или завтра помещу своё заключение прямо здесь.

Тогда, думаю, с согласия Замполита стоило бы выложить и некоторые ключевые документы, чтобы были понятны выводы.

Поддерживаю! :D
Можно давать наиболее интересные дословные цитаты из материалов УД и обсуждать их на форуме, при этом не скатываясь на позицию "одна бабушка другой что-то сказала" или как в известном анекдоте "Я свидетель! А что собственно случилось?" 8)

P.S. Можно выложить отсканированными "картинками" с замазанным перданными. Любые материалы в любом объеме готов принять и выложить на форум (полученное в пятницу выложу в субботу).

Только ссылочки "плиз" не забудьте здесь на них указать... ;) :D

 Очень даже "ЗА".
  Вчера набил экспертизы (вопросы и ответы) получилсоь 4 страницы. В форум заливать - не удобно как-то.
  Николай Николаевич, прошу Вас, в свое заключение, если это возможно, вставить часть переданных документов - на Ваше усмотрение. Однако, настаиваю на удалении/изменении параметров всех участников дела. По-крайней мере,-  до суда не стоит разглашать подобные сведения. (Все, что касается моей персоны, - можно оставить - чай не шпиён и скрывать мне не чего ;-) )

Уважаемый, Zampolit! :)
Как Вы относитесь к вот этому предложению администратора сего сайта? :D


Представляется, что это был бы оптимальный вариант для всех участников форума: и текст документа любой желающий себе скачать мог бы, и обсудить его в этом "топике", и форум не загромождался бы излишним текстом материалов рассматриваемого УД. 8)

Может быть Вам стоит договориться с Антоном ради общего дела? Свое предложение он уже высказал - ответ и активные действия за Вами... ;)

Отлично!
  Только, думаю, что сначала я затру всю инфу об участниках дела, ибо там есть и персональные данные. Потребуется время... Считая, что MAC и IP адреса не являются охраняемой законом информацией - трогать не буду. Имена пользователей (они же логины) изменю.
А Вы как считатете?

Привожу свои соображения и заметки по итогам анализа данного дела.

В начале - вывод. Если бы я оказался на месте судьи, я был бы "внутренне убеждён" в виновности обвиняемого. Но оправдал бы его ввиду недоказанности.



Насколько я себе представил из имеющихся материалов, фабула дела такова.

Сеть провайдера "Мегалинк" работает на одном из протоколов семейства Wi-Fi (802.11a, 802.11b или 802.11g) каком именно, точно не известно. Авторизация производится по логину и, возможно, паролю, предположительно, по протоколу аутентификации канального уровня 802.1x. Учёт трафика (аккаунтинг) производится по MAC-адресу и IP-адресу, предположительно, при помощи сервера FreeRadius. Другая информация об организации сети провайдера мне не известна.

Работники провайдера по жалобам клиентов заметили, что кто-то подключается к ним и потребляет услуги за счёт других клиентов. В логах "Радиуса" были замечены записи, в которых логин не соответствует паре MAC-адрес/IP-адрес, то есть, логин был "mozhaev", а MAC/IP соответствовали
клиентам ...удалено по просьбе zampolit...

Провайдер направил заявление в милицию, прямо указав в нём, что подозревают своего клиента Можаева.

В ходе расследования уголовного дела был изъят компьютер Можаева и передан на экспертизу. Эксперт Щагин обнаружил на жёстком диске изъятого компьютера следующие существенные для дела улики.
1) Файл netsetup.log, в котором отражено использование сетевого адаптера с различными MAC/IP-адресами.
2) Программу SMAC, которая позволяла менять MAC-адрес под ОС Виндоуз.
3) Логи ПМЭ, в которых отражена некоторая сетевая активность пользователя, зафиксированы моменты обращения к сети и IP-адреса, с которых они происходили.

Эксперт сопоставил найденное с логами провайдера "Мегалинк" и сделал вывод, что подозреваемый менял свои MAC-адрес/IP-адрес, не меняя логина (и пароля?) и таким образом подключался к сети провайдера, потребляя услуги за чужой счёт.

Цепочка доказательств выстраивается следующая.
- Биллинг провайдера учитывает трафик по MAC и/или IP-адресу.
- Логи ААА-сервера провайдера связывают несколько пар MAC/IP-адресов с логином "mozhaev".
- На компьютере Можаева обнаружены следы смены MAC-адреса на чужие MAC-адреса.
- За компьютером мог работать только Можаев.
Следовательно, именно он и осуществил НСД.

Слабые места данной цепочки:
- логи провайдера предоставлены заинтересованным лицом и никак не подтверждены независимo (например, протоколом осмотра или заключением эксперта);
- эксперт сделал ключевой вывод, опираясь на логи провайдера, которые официально ему не передавались для исследования;
- логи провайдера неполны, неизвестно ПО, которое их генерировало и настройки этого ПО (в зависимости от этих обстоятельств смысл логов может меняться очень сильно);
- не исследована версия "неизвестный злоумышленник", у которого было возможностей ровно столько же, сколько у подозреваемого, а мотивы - даже сильнее.



Экспертное заключение Щагина 12-18.04.05

Конечно, экспертиза проведена, мягко говоря, не идеально.
* Эксперт то ли загружался прямо с исследуемого диска, то ли подключал его одновременно с системным. При этом неконтролируемо изменяется информация на диске, которая может быть существенна для дела.
* Эксперт не проверил, как установлены часы исследуемого компьютера, хотя впоследствии данные о времени использовались для доказательства.
* Эксперт не перечислил использованные для исследования программы и основания доверять им (как известно, даже в профессиональном ПО регулярно выявляются ошибки, а программы кустарного производства, коих значительно больше, часто интерпретируют данные вовсе неверно).
 
Тем не менее, нет серьёзных оснований сомневаться в полученных экспертом данных. Выводы также в основном верны, но только при условии подлинности логов.  Кроме того, имеется процессуальная нестыковка.

Эксперт проводит сравнение обнаруженной на исследуемом диске информации с логами лоступа провайдера "Мегалинк" (логи ААА-сервера). Но эксперту такие логи, согласно постановлению, не передавались. Более того, логи оператора связи (провайдера) составляют тайну связи и/или
тайну личной жизни гражданина. Следовательно, доступ к логам может осуществляться лишь на основании судебного решения.

Таким образом, эксперт не имел права проводить сравнение найденной им информации с логами провайдера и делать выводы на основании этого сравнения. Даже если бы логи были бы переданы эксперту для сопоставления, необходимо обеспечить удостоверение подлинности этих логов.

Кроме логов ААА-сервера, существенное значение имеют логи точки доступа. Без их анализа и сопоставления с логами ААА-сервера нельзя говорить о полном исследовании доказательств.

Хотя на диске и обнаружена программа SMAC, предназначенная для смены MAC-адреса, запуск этой программы ничем не подтверждается - её упоминание отсутствует в логах ПМЭ, где отражен запуск иных программ. Также не указано никаких иных свидетельств, что программа SMAC запускалась. Тем более - что указанная программа использовалась по назначению.

Свидетельства смены MAC-адреса исследуемого компьютера обнаружены в файле netsetup.log. Нет оснований сомневаться в этой улике.

Сама по себе смена MAC-адреса компьютера не означает несанкционированного доступа. Всё зависит от системы авторизации и билинга, применяемой провайдером. В деле нет сведений об этих системах. Не указано, на каких протоколах построена сеть провайдера. Не указано, какие способы авторизации применяются и в каких режимах. Не указано, где
и на каком этапе проверяется логин-пароль и MAC-адрес пользователя. Не указано, где и на каком этапе пользователю присваивается IP-адрес. Нет сведений относительно того, какими техническими средствами производится учёт потреблённых услуг (биллинг) и сведений относительно сертификации биллинга. Без вышеуказанной информации НЕВОЗМОЖНО делать выводы относительно сути произошедшего. (Я, например, делаю не категоричные выводы, а предположительные, основанные на догадках.) В зависимости от вышепоименованной информации, имеющиеся в деле факты могут быть интерпретированы и как неправомерный доступ со стороны подозреваемого, и как неправомерный доступ со стороны неустановленного лица, и как ошибка технических средств провайдера, и даже как злоупотребление со стороны персонала провайдера.

Если эксперт делает категоричные выводы, значит либо он имеет  вышеперечисленную информацию, либо он некомпетентен. Третьего не дано.

Кроме логов ААА-сервера ("Радиус"), обязательно надо изучить логи точки доступа. И обязательно - конфиги того и другого.




По обвинительному заключению

Обвинение основывается на утверждении, что MAC-адрес компьютера является охраняемой законом информацией, и доступ к этой информации был неправомерным. Сам по себе MAC-адрес (без привязки его к фамилии, названию, адресу пользователя) охраняемой информацией, конечно же, не
является. Он не является персональными данными, поскольку по MAC-адресу невозможно идентифицировать личность. Он не является конфиденциальной информацией или коммерческой тайной, поскольку владелец не принимает мер для сохранения в тайне своего MAC-адреса. (Это противоречило бы техническим стандартам.) MAC-адрес передаётся по сети в открытом виде, в том числе, в протоколах Wi-Fi. Этот факт, кстати, эксперту был известен - см. протокол допроса эксперта Щагина от 14.02.05.

Безусловно, подмена MAC-адреса с целью получить услуги бесплатно нарушает права иных лиц и причиняет имущественный ущерб. Но квалификация здесь должна быть иная. Неправомерный доступ осуществлялся не к MAC-адресам, а к системе авторизации/билинга провайдера.

Предположим, что доказан факт смены MAC-адреса на компьютере подозреваемого. Однако чем доказывается, что подозреваемый, сменив MAC-адрес, выходил в сеть под именем пяти конкретных пользователей и получал услуги за их счёт? Для доказательства этого следовало бы
сопоставить логи провайдера (в которых фиксируется MAC-адрес) с сетевой активностью компьютера подозреваемого. Причём логи провайдера следовало бы осмотреть с участием незаинтересованного специалиста или получить в ходе экспертизы провайдерского оборудования. Но логи были переданы следствию самим провайдером, то есть, заинтересованным лицом. Даже
не сами логи, а конечный результат их сопоставления с сетевой активностью под логином подозреваемого.


Кстати, запись в логах "no User-Password attribute" говорит, что, скорее всего,
у провайдера используется сервер аутентификации FreeRadius.
Относительно FreeRadius имеются сведения о его некорректной работе в некоторых ситуациях. Например,
http://lists.cistron.nl/pipermail/freeradius-users/2004-September/036519.html
http://mail.iptel.org/pipermail/serusers/2004-September/011648.html
Разумеется FreeRadius не сертифицирован в РФ ни на что, а производитель (как это принято) отказывается от гарантий. Поэтому имеются основания полагать, что запись в логах вида
"Login OK: login/no User-Password attribute"
при определённых обстоятельствах может означать НЕУСПЕШНУЮ авторизацию.
И вообще, имеющиеся фрагменты логов кажутся внутренне противоречивыми. Например, есть записи об успешной и неуспешной аутентификации одного и того же пользователя при совершенно одинаковых условиях.



Насчёт возможности удалённого управления - тема бесперспективная. Найти троян очень сложно. И используют троян обычно для других целей. Правильные пацаны не надеются на мифических хакеров, а сами ставят себе троянские программы. ;)

Николай Николаевич.
Можно пару уточняющих вопросов?

1)А как эксперт установил, что SMAC это SMAC (а не самораспаковывающийся архив Windows 3.11 ;D)?

2)
Как Вы считаете, чем можно обеспечить удостоверение подлинности логов? Интересно знать Ваше мнение.

Есть известное выражение про хитрую гайку и болт  ;D

Не знаю, об этом в заключении не написано. Но эксперт, как видно, не чайник. В вопросах типа отличить Бабеля от кабеля ему можно доверять.



Например, произвести осмотр логов с участием независимого специалиста и понятых. Найденные логи распечатать, подписать и приложить к протоколу осмотра. В дальнейшем эксперту вместе с системным блоком передать копию этого протокола осмотра логов. Тогда будет уверенность, что эксперт производил сопоставление найденной на компьютере подозреваемого информации с правильными логами, а не с какой-нибудь фигнёй, которую он взял из неустановленного источника.

Раз в заключении эксперта не доказано, что программа (назовем ее условно) SMAC.exe  - это ПО именуемое SMAC фирмы такой-то, следовательно это не SMAC  и нечего огород городить.

Николай Николаевич.
Ваш ответ на мой второй вопрос - это метод "легализации" доказательства (придания логам статуса доказательства), меня более интересовал вопрос именно удостоверения подлинности (напр. расчетом хэш-функции или контрольных сумм по соответствующим алгоритмам).

Полагаю, что такой цели у эксперта не было, да по большому счету, в данном случае доказательства идентичности ПО и не требовалось. Эксперт, если Николай Николаевич, правильно отобразил это в своих замечаниях, установил всего лишь, что на компьютере была установлена некая программа SMAC (например, у нее так в ее собственном интерфейсе название высвечивалось), которая позволяла изменять MAC-адрес (опять же, например, могло устанавливаться, с помощью изучения интерфейса, Help'a, экспериментальной проверки этой функциональности на тестовом компьютере и на изъятом, при подключении копии вместо оригинально HDD). Если при этом эксперт дополнительно сходил бы на сайт разработчика, указанный в программе, установил бы визуально идентичность интерфейсов с тем, что нашлось на изъятом диске, сравнил бы, возможно имеющиеся в его коллекции хаши - то, IMHO, и для достаточно уверенного вывода об идентификации ПО набралось бы вполне достаточно оснований.

Dmitry, не ожидал  :(

Насколько я понимаю, для того чтобы в заключении эксперта  сказать, что на компьютере имеется программа SMAC  надо, как минимум, побитово сравнить файлы найденной программы с файлами лицензионного ПО (не путать с инсталяционным пакетом), как правило,  предоставленного следователем.

В принципе я и для Windows и для Linux могу замутить практически одинаковый визуальный интерфейс. Но Вы же понимаете, что это не одно и тоже  ;D
Я уж не говорю про более простые, с точки зрения визуального отображения, интерфейсы программ.

Если ЭТО выглядит как собака, лает как собака и кусается как собака, значит ЭТО и есть собака. Без побитного сравнения. Не будьте максималистом!

Кстати, не перестаёт меня удивлять ваша Виндоуз. Для такой элементарщины как смена МАК-адреса аж целая специальная программа написана. В любом, самом древнем Юниксе - одной штатной командой.

Может не самый удачный пример - шакал (и выглядит и лает как собака, НО, не собака). Тем более, что Вы немного обобщили - собаки бывают разных пород. Знаете ли если (не дай Бог конечно) кого-то укусят пекинес и бульдог - болевые ощущения будут не одни и теже.


МОЯ Виндовс!!! Где тогда мои миллиарды ???

Николай Николаевич, Ваше мнение начет удостоверения подлинности логов все-еще продолжает интересовать.

Огромное спасибо Николаю Николаевичу.
Честное слово - пока читал анализ, почувтсвовал себя в зале суда при зачитывании приговора!!!

Прошу не забрасывать помидорами... но кто такой "ААА-сервер"?

А теперь подолью масла в огонь.

1. Эксперт утверждает, что радиокарта в исправном состоянии. Как он это определил??
2. (Самый секс  ;) ) Переданный компьютер находился ФАКТИЧЕСКИ в неработоспособном состоянии!!!!!
 Поясняю:
 Не задолго (в пределах недели) до изъятия  я приобрел (точнее апгрейдил старую видяху) видеокарту Radeon 9800SE от  Sapphire. По своему недосмотру упустил один пустячок - разъем доп. питания на видеокарте аналогичен разъему питания на 3.5"флоповоде, а на хвостах блока питания такой разъем ОДИН! Можно было перекинуть, но... мне (а точнее моей жене) необходим для работы флоповод. Решил, не мудрствуя лукаво, сделать еще один хвост с таким разъемом... но - не успел. Хвост нашел у знакомых в компьютерной фирме (обстригли с дохлого БП), а подпаять- руки не дошли - так и валяется дома. Короче - когда комп изъяли - работал он только так: включается, и на мониторе в рамке на красном фоне надпысь, мол, "к видеокарте не подключено дополнительное питание - работать не буду! Баста!" (ЕМНИМС - именно так - всего раз видел, включив комп в надежде, что доп. питание нужно только в играх при работе видемокарточки как видемоускорителя).
3. Провайдер говорит, что после изъятия у меня компьютера (21/12/2004) доступ под моим логином прекратился. НО.... провайдер сам же указывает, что с 21/12/2004 года я был ОТКЛЮЧЕН от сети. Эти седения зафиксированы в протоколах допросов. (Даже если опустить факт превращения даты моего отключения от сети проваедром с 16/12 на 21/12)
 КАКИМ ОБРАЗОМ МОЖНО БЫЛО ОТСЛЕДИТЬ (И ОЖИДАТЬ) ВЫХОД ПОЛЬЗОВАТЕЛЯ В СЕТЬ, ЕСЛИ ОН СОЗНАТЕЛЬНО ОТКЛЮЧЕН ОТ ЭТОЙ СЕТИ (ЗАБЛОКИРОВАНА УЧЕТНАЯ
ЗАПИСЬ)??????????
4. Меня несколько раз отрезала от сети служба тех. поддержки провайдера. На мои вопросы говорили: "От вас идет большой траффик (исходящий). Возможны вирусы". При проверки всего компа я находил (иногда) вирусягу, типа "Exploit.Byte" (Dr.Web), сообщал провайдеру "ужо чисто", после чего получал подключение. Может этим исходящим траффиком объясняется бесследное исчезновение закаченных 5 Гигабайт??
5. Может я лунатил по ночам и сам менял IP и MAC адреса, переименовывал компьютер, а днем этим баловался от безделия? Не знаю, но человек иногда должен еще и спать - по логам этого не скажешь. (если кто-то засиживался за компом по ночам - знает - какие потом "романтичные" отношения с членами семьи - я это уже давно усвоил: 23-00 - и баиньки!)

ЗЫЖ учитывая все вышесказанное, а так же тот факт, что следователь (с ее слов в присутствии моего адвоката) проболталась (точнее я ее к этому подвел ;D ) ) о договоренности между ней и провайдером об установке персонального радиокомплекта домой за 6500 р. (официальная установка - 21500 р.), напрашивается .... а не иудомассонский ли это заговор??????
Всем им хорошо: отдел "К" и ОВД района ставят жирные галки - раскрываемость (да плюс еще какого супер-пупер высокотехнологичного преступления!!!!) растет, все начинают стряпать свои методики по раскрытию подобных "преступлений", провайдер ставит следователю радиокомплект, не теряя ни копейки (6500 платит следователь + 15000 "возмещаю ущерб" я - итого 21500 - интересная арифметика!) и всем грозит пальчиком - поймали гада, чтоб другим не повадно было, эксперт - тоже крупным спецом считаться будет.
..... А траффик все-равно воруют....

Игорь Юрьевич,

Метод прямого сравнения с эталоном, как и любой другой метод, имеет свои достоинства и недостатки. Следователь, прикладывающий никем не калиброванную линейку, купленную в ближайшем магазине канцтоваров, тем не менее с уверенностью пишет в протоколе, что изъят системный блок размером 10х20х40 см, и не проводя спектрального и химического анализа, добавляет, что на передней панели имеется надпись, выполненная красителем красного цвета. И в подавляющем большинстве случаев будет прав, даже не смотря на отсутствие специальных познаний в области метрологии, химии и спектрального анализа. И что ж теперь адвокатам со стороны защиты на этом основании требовать исключения доказательств, а следователям назначать экспертизу каждый раз, когда их рука тянется к линейке? Другое дело конечно, когда по обстоятельствам дела значение могут иметь доли миллиметра, а следователь измерял попавшейся под руку строительной рулеткой с дюймовыми делениями.
А почему сравнивать всегда надо с лицензионным ПО? А если в протоколе допроса прямо указано, что программа скачивалась с какого-то варезного сайта, название которого подозреваемый не помнит? Могут ведь и не совпасть файлики при побитном сравнении с лицензионным образцом. И ведь не в отдельных битах могут не совпасть, а просто совсем мимо, даже длина разная может оказаться. Представьте, что в лицензионном продукте в файле хранился код в пожатом и зашифрованном виде, а контрафакт был получен дампом расшифрованного образа из памяти. Будем делать образы из памяти и их сравнивать? А ну как в лицензионном продукте система защиты от копирования не расшифровывает весь образ в память, а делает это кусками в процессе исполнения? А представьте, что допрошенный специалист производителя, заявил, что обнаруженное ПО не является полностью идентичным ни одной из стандартных версий продукта, и скорее всего является специальной версией, разработанной для какого-либо из заказчиков по специальному договору, либо, что более вероятно, одной из рабочих/промежуточных внутренних версий, попавших к подозреваемому по всей видимости в результате утечки информации. Промежуточных версий масса, не все из них передаются в архив, и т.п. - что в этом случае предоставить эксперту для побитного сравнения и как специалист производителя без этого сравнения смог сделать вывод о том, что это тем не менее их программа?
И еще массу других вопросов и нюансов можно придумать для побитного сравнения.
Поэтому, согласен с Николаем Николаевичем - не надо быть максималистом, в том плане, что есть метод, который является единственно правильным. Панацеи не существует. Специальные знания эксперта заключаются не в умении набрать команду fc /b, а в умении определить когда это делать можно, когда необходимо, а когда и вредно (ибо приведет к заведомо противоречивым или малозначащим результатам, которые хотя и могут быть объяснены, но маловероятно, чтобы эти объяснения были поняты неспециалистами в суде) и выбрать в этом случае наиболее подходящие альтернативные методы исследования. А набирать fc /b - не велико умение, уж не сложнее, чем линейку приложить.

То есть, вам интересно узнать, как должно изымать лог, чтобы быть уверенным, что этот лог полный, целостный, не фальсифицированый?

Подлинность лога подтверждается обстоятельствами его изъятия (фиксации). Незаинтересованные лица должны подтвердить, что именно этот лог был обнаружен именно на этом компьютере в соответствующем месте, при соответствующих настройках софта. Если лог изымается (осматривается) в порядке осмотра места происшествия или обыска, то в протоколе следует отметить следующее.

• Участие специалиста, компетентного в соответствующей области
• Что понятые имеют специальные познания о компьютерах, сетях и данной ОС и полностью понимают смысл и значение всех производимых действий.
• Настройки программы, которая пишет лог (например, содержимое /etc/syslog.conf), а также настройки программ, обрабатывающих логи, например, ротатора логов.
• Возможности доступа на запись к файлам логов.
• Наличие признаков изменения логов или признаков нарушения защиты системы в целом.

Понятно, что для теоретическо-стопроцентной уверенности в подлинности логов надо произвести полный аудит безопасности всей системы. И если обнаружится хотя бы один недостаток, уверенность не будет стопроцентной. На практике же вполне достаточно вышеупомянутого "отсутствия признаков" изменения.

Конечно, экспертиза в таких случаях предпочтительней осмотра.

В случае с Замполитом логи (1) получались даже без этих минимально необходимых удостоверяющих действий и (2) все операции производились только заинтересованными лицами - сотрудниками провайдера. Именно поэтому я не склонен считать их доказательствами.

Dmitry,
Согласен с тем, что побитовое сравнение не идеальный метод  :( , но во всех других случаях , описанных Вами, необходимо, видимо, проводить дезассемблирование кода программы  :'(  (а ведь есть еще  недокументированные команды и т.д.).

Иначе как доказать, что программа только  изменяет MAC адрес а еще одновременно не производит запуск  пары баллистических ракет (или не учавствует в распространении свежего червя по сети)?

Николай Николаевич, Вы меня опять не совсем поняли. Попробую объяснить по другому. На Западе эксперты для подтвеждения подлинности полученных цифровых доказательств используют контрольные суммы. Вот я и спрашиваю - Вы бы стали рассчитывать контрольную сумму (для подтверждения подлинности)  для файла с логами и если "да" то по какому алгоритму? Вопрос понятен?

Игорь Юрьевич, я соглашусь со словом "видимо" в вашей фразе о дизассемблировании, но склонен возражать против слова "необходимо". Это зависит от многих обстоятельств охватывающих общую картину происходящего и известных следствию, их полноты и достаточности для формирования цельной и непротиворечивой картины присшедшего, личностей участников и т.д. Иначе говоря - от круга тех версий и контрверсий, которые я как эксперт должен выдвинуть и проверить, основываясь на своих знаниях и опыте, известных мне сведениях о происшедшем и собранных данных (которые в ходе исследований будут постоянно уточняться, а их оценка, возможно, меняться), руководствуясь (но, возможно, не ограничиваясь) вопросами и версиями предложенными для проверки следователем. Возможно, когда-то придется и дизассемблировать, а когда-то достаточно будет ограничиться более простыми методами. Если по обстоятельствам дела, есть основания полагать, что вслед за несанкционированным доступом, по офису провайдера с целью сокрытия следов этого преступления был нанесен ракетно-артилерийский удар - буду вынужден искать следы этого. А если никаких указаний на разрушения, связанные с этим несанкционированным доступом нет, зачем мне в это лезть, если непосредственно для установления возможности несанкционированного доступа существенным является только возможность смены МАС-адреса, что и будет мной проверенно. Так действительно можно дойти до того, что каждое новое преступление будем проверять на связь с убийством Кеннеди, слать запросы в ФБР, ждать ответы и закрывать дела за истечением сроков давности. В конце концов идеальных методов, а уж тем более идеальных методов на все случаи жизни не существует - так уж увы устроен наш мир. Поэтому выбирать методы исследования буду исходя из возможности получения данных, достаточных и удобных для предъявления в качестве доказательств неспециалистам в суде, достаточно строгих вместе с этим, чтобы можно было их отстаивать и перед специалистом, и достаточных для того, чтобы соответственно моим знаниям о том, что реально можно и нужно сделать, чтобы полученные выводы убеждали меня самого настолько, чтобы потом совесть не мучала. А 100%-ного результата все равно достичь невозможно, как ни старайся, фантастических или гипотетически правдоподобных версий можно всегда будет напридумывать столько, что и за всю жизнь не проверишь. Как говорится - если бы у бабушки был..., ну и так далее... Не лазить же теперь всем под юбку когда ни попадя.

Контрольные суммы и хэши используются не для подтверждения подлинности, а для проверки неизменности.

Например, чтобы эксперт был уверен, что переданный ему лог - тот же, который был изъят ранее, можно сравнить хэши того и другого. А можно сравнить непосредственно сами логи. Первое, конечно, удобнее, но это непринципиально.

Материалы дела:

(объем - до 1.5 МБ, формат - tif).
По формату и именам файлов - клал как получил от "замполита".
P.S. В конце - файл "все в одном", архивом (5.1 Мб) - предпочтительно.

1. Допрос эксперта.tif http://internet-law.ru/forum/attachments/cyberpol/1.tif
2. Допрос эксперта2.tif http://internet-law.ru/forum/attachments/cyberpol/2.tif
3. Заключение доп эксперт.tif http://internet-law.ru/forum/attachments/cyberpol/3.tif
4. Заключение эксперт.tif http://internet-law.ru/forum/attachments/cyberpol/4.tif
5. Запрос и ответ по MAC адресам.tif http://internet-law.ru/forum/attachments/cyberpol/5.tif
6. Обвинительное заключение.tif http://internet-law.ru/forum/attachments/cyberpol/6.tif
7. Отказ ходатайства в доп эксп.tif http://internet-law.ru/forum/attachments/cyberpol/7.tif
8. Постановление о прекращении УД.tif http://internet-law.ru/forum/attachments/cyberpol/8.tif
9. Постановление об отмене постановления о прекращении.tif http://internet-law.ru/forum/attachments/cyberpol/9.tif
10. Постановление об удовлетворении ходатайства.tif http://internet-law.ru/forum/attachments/cyberpol/10.tif

Файл "все в одном", архивом (5.1 Мб): http://internet-law.ru/forum/attachments/cyberpol/delo_zampolita.zip

Уважаемый Николай Николаевич! Еще раз перечитав ваш анализ, хотелось остановиться на некоторых моментах
В файле netsetup.log зарегистрирована информация о смене имени компьютера и рабочей группы. О смене MAC-адресов там нет ни строчки!
Эксперт точно не владеет указанной Вами информацией. Экспертиза реально проводилась за 2-3 дня (оба раза). Абсолютно точно можно так заявить о первой экспертизе - мне сам следователь сказал - я его почти каждый день по телефону дергал - он сам говорил - когда будут готовы результаты, но проведение экспертизы постоянно отодвигали в течении почти 2-х месяцев. Кстати, повезло со следователем в военной прокуратуре - он хоть немного (с его слов) разбирался в технике, поэтому и прекратил уголовное преследование.

Экспертиза Щагина 24.12.04-08.02.05, страница 6.

Я потом нашёл виндовый сервер и посмотрел на нём файл netdiag.log. Там в разделе тестирования сетевых адаптеров - все их данные, включая МАС-адрес.

Как экспертиза - ключевое доказательство в вашем деле, так этот файл - ключевой момент в экспертизе. Если сумеете его выдернуть, всё дело рухнет.

Цитирую экспертизу: "На диске C:\Windows\Debug был обнаружен файл NetSetup.log, в который автоматически вносится информация о изменении рабочей группы и компьютера. Из которого видно, что машина переименовывалась несколько раз..." Про адреса ни слова, впрочем, как и в самом файле.
Файл netdiag.log создается при запуске утилитки netdiag /l - отдельная история, про это в экспертизе нет ни слова.
Я так и не понял: а для чего нужно было переименовывать-то???? И к чему эта информация в экспертизе???? Для объема и солидности?

Увы и ах, Николай Николаевич, zampolitu с экспертизой действительно повезло. Если вы внимательно перечитаете заключение, эксперт при описании Netsetup.log не пишет о смене MAC адресов - этой информации в этом файле быть и не должно, если только ее туда ручками помимо ОС не вписать. Вывод о МАС адресах, похоже, опять-таки сделан исключительно на основании логов сервера авторизации, достоверность которых в силу ряда обстоятельств на данном этапе весьма сомнительна. На данный момент - самым сильным местом является, ИМХО, ZoneAlarm'овский лог, но он не обеспечивает необходимые доказательства в полной мере. Добавлю,тем не менее, что мои впечатления от прочитанного целиком соответствуют тому, что вы написали про судью.

Вот и приготовьтесь отвечать судье на этот вопрос.  ;)

Сам файл в заключении эксперта не приводится (это, конечно, зря). Приведён лишь результат обработки этого файла какой-то программой - см. таблицу в низу страницы 6.

В таблице приведен обнаруженный экспертом отчет о сканировании сети программой NBScan из пакета Essential Nettools. И если я правильно понимаю, эксперт писал только о том, что в netsetup.log содержатся сведения о том, что исследуемому компьютеру неоднократно присваивались имена из указанного списка NBScan.

А я понял так, что эксперт сам применил программу NBScan, и она нашла в netdiag.log упомянутые МАС-адреса.

Не, она не под это заточена, на своем диске она ничего не ищет.

http://www.tamos.ru/products/nettools/ (http://www.tamos.ru/products/nettools/)
http://www.tamos.com/screenshots/index.php?PAGEN_1=2&product=nettools#nav_start (http://www.tamos.com/screenshots/index.php?PAGEN_1=2&product=nettools#nav_start)

Уважаемые! :D

А можно к вам с процессуАнальной точки вклиниться? ;)
Я думаю, что Zampolit не обидется, если я здесь продублирую то, что скинул ему в приват... :-\

"ВОПРОСЫ:

     1. В заключении эксперта от 12.04.2005-18.04.2005 г. в разделе “На экспертизу представлено” в п. 1 после слов “…с печатью Информационно-вычислительный центр Забайкальской железной дороги” следует текст: “УВД ЧИТИНСКОЙ ОБЛАСТИ С ПОДПИСЯМИ ПОНЯТЫХ И ПРИСУТСТВУЮЩИХ ЛИЦ”???

     ВОПРОС: После производства какого следственного действия появилась эта печать и подписи его участников на коробке с вещественным доказательством – системным блоком ЭВМ? Ведь после производства первоначальной экспертизы от 24.12.2004-08.02.2005 г. он был упакован и скреплен печатью “Информационно-вычислительный центр Забайкальской железной дороги” с подписью одного эксперта – Щагина К.А.?

     2. В протоколе допроса эксперта, написанном от руки, эксперт Щагин К.А. на вопрос следователя “Поясните, использовал ли Можаев данную программу” (для сканирования и взлома паролей) безапелляционно утверждает, что “Данными программами Можаев пользовался”, “… по этому времени можно судить о времени выхода в сеть Интернет Можаевым. Можаев с помощью указанных в заключении программ сканировал сеть…”, “Можаев несколько раз изменял название своего компьютера” и т.д.

     ВОПРОС: по каким признакам эксперт идентифицировал личность Можаева при исследовании указанных им в Заключении файлах и программах?
(Разве в них содержатся признаки, позволяющие однозначно идентифицировать лицо их использовавшее?).

     Поскольку эксперт изменил ранее данное им Заключение и показания, что наглядно видно из сравнительного анализа содержания выводов первого и второго экспертных заключений, а также сравнительного анализа содержания ответов, данных им в ходе соответственно первого и второго допросов, разъясняющих отдельные положения проведенных экспертиз, а также не может внятно назвать признаки, по которым в ходе второй экспертизы была идентифицирована личность гр. Можаева, он некомпетентен как эксперт.
     Можно также добавить, что в одном протоколе допроса он прямо говорит о том, что "экспертизу проводит впервые"... ;)

    В связи с чем, на основании п.3 ч.2 ст. 70 УПК РФ, следует заявить ему отвод в порядке ч.1 ст. 69 УПК РФ.

     После этого следует потребовать исключения из перечня доказательств всех данных им заключений и протоколов его допросов. Обвинение рассыплется…

     Если это не пройдет, тогда нужно использовать для своей защиты первое заключение эксперта и протокол его допроса – самостоятельные доказательства!" 8)

 В смыле - должна была быть ТОЛЬКО печать ИВЦ с подписью эксперта?
Комментарий:
  После проведения экспертизы системник был передан в военную прокуратуру (я его видел - на сейфе у следователя). После прекращения уголовного преследования я обратился к следователю с вопросом: "Когда я смогу получить компьютер обратно?", на что он мне ответил: "Я не могу подставлять ментов - верну им - пусть решают". После этого я еще месяц догонял свое дело с целью вернуть комп. Материалы дела следователь САМ передал зам. прокурора моего района, а компьютер из военной прокуратуры позже забрал отдел "К". Возможно здесь и появилось ЭТО "УВД ЧИТИНСКОЙ ОБЛАСТИ С ПОДПИСЯМИ ПОНЯТЫХ И ПРИСУТСТВУЮЩИХ ЛИЦ".
И здесь же вопрос - имели ли они право лезть (тем более самостоятельно) в компьютер?
  Интересный момент:
  Ровно через неделю после прекращения в отношении меня уголовного преследования была совершена кража в доме. Украли ТОЛЬКО компьютер (новый системник менее недели назад скидал) со всеми причиндалами (остались только тыловые колонки от АС 5.1), золото у жены, радиотрубку - китайский Senao SN258 (база осталась у меня). До сих пор ни чего не всплыло. Вызвали милицию - они составили протоколы, криминалист нашел единственный след на дне шкатулки (потом сказали, что он принадлежит моей жене). Через недели 2-3 вызвали в отдел, где еще раз "передопросили" на чистые бланки
 и... тишина. Я им даже свидетеля нашел - таксист (рядом стоят) проезжал мимо и обратил внимание на стоящую рядом с домом (практически в воротах) иномарку с "шашечками". В день кражи я уходил из дома по вопросам трудоустройства в 12ч, пришел в 16ч., кража совершена в 14ч. Дом - страшно смотреть - ворота вот-вот упадут, крыша вся в заплатах, заваленки нет. Рядом (прямо возле дома) - автобусная остановка.
  Ближе к телу: когда я пришел в отдел "К" - с вопросом - в каких компьютерных лавках следует посмотреть украденное, а заодно
с интересом - вернуть "родной" комп, то они были оччччень удивлены тем фактом, что я не забрал свой системник назад и, с оживлением, принялись распрашивать - где он находится, после чего выпнули меня, сказав, что "так тебе и надо..."
Так и идентифицировал. В лога ZoneAlarm указано время сетевой активности, в тоже время в логах "от провайдера" зарегистрирован пользователь mozhaev, которому соответствует пользователь Можаев. О том, что я использовал программы Essential Nettools и Cain&Abel и в каких целях, я сказал следователям. Но то, что смена MAC адреса производилась именно программой SMAC и именно мной - это ни чем не подтвержденные догадки эксперта.
В принципе, в любом случае здесь имеют место ТОЛЬКО умозаключения эксперта. Реально - ни на однин из поставленных вопросов эксперт не дал полный, точный мотивироавнный ответ (прочитайте внимательно КАЖДЫЙ вопрос и найдите соответствующий ему ответ).

Просьба ко всей общественности: как рассчитать необходимую мощьность блока питания компьютера?
В моем случае:
M/b - ECS L7S7A2
CPU - AMD Athlon 2600+ (Thorobred)
Cooler Zalman AlCu 3000
RAM DDR 256Mb Samsung PC-266 + 256 Mb Hynix PC-333
HDD Seagate 80Gb
CD-RW LG (старый какой-то 4/4/32)
DVD-CD-RW Toshiba 1512 (модель точно не помню)
FDD 1,44 Teac
Video Sapphire ATI Radeon 9800SE (стоит с разблокированными конвеерами и разгоном ядра и памяти, как 9800PRO - это я при апгрейде в фирме так сделал - с перепрошивкой бивиса)
TVtuner - Aver TV Studio
S/b - Audigi
Радиокарта - Cisco 350
2 карлсона в корпусе.
(мой БП, стоящий в системнике, уже начал обугливаться, я все переживал/переживаю, как бы в ходе экспертизы он совсем не здох, прихватив с собой добрую половину системника).
  По мои подсчетам - требуется 400W БП как минимум, особенно в момент запуска/инициализации, когда все железо начинает пахать во всю дурь!

Ну с печатями я думаю все несколько проще. В соответствии в древним принципом сохранения информации - информация не возникает из ничего, и не исчезает в никуда, а плавно переходит из одного научного отчета в другой. Как не трудно видеть в значительной степени вторая экспертиза писалась на основе первой, слова об УВД и т.д., ИМНО, остались в результате неаккуратного использования экспертом функций copy-paste с последующим редактированием.

На аргументы, об изменении показаний эксперта, сторона обвинения, думаю, заявит, что это было не изменение, а уточнение позиции эксперта по некоторым вопросам. Явных противоречий между двумя экспертизами и допросами нет, различия заключаются в уточнении некоторых деталей, а по сему ходатайство должно быть отклонено.

Позвольте полюбопытствовать - следователям на эти вопросы вы отвечали также, как описали это здесь в первом сообщении этой темы http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=1156;start=0 (http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=1156;start=0)?

Так точно-с! С указанием расположения отчетов по сканированию сети и объяснением - что из себя представляет отчет и где в нем можно посмотреть время сканирования.
Кстати, для меня стало открытием - как много раз продублированы мои настройки для Aironet Client Utility.
Свои показания (всего 4 допроса по одним и тем же вопросам) я не менял, так как менять нечего - сказал все как есть. Пытались, правда, подколоть - пришлось отправить к прошлым протоколам для сравнения ;-)

Тогда позвольте еще полюбопытствовать


И какой же сайт находился на компьютере с адресом 10.17.0.192, к которому указанная программа, судя по логам приведенным в заключении эксперта, лезла 04.11.2004 примерно в четверть пятого?

 Вы имеете ввиду запись: <PE, 2004/11/04, 16:15:50 +9:00 GMT, Cain-Password Recovery Utility,10.17.0.192:0, N/A>?
  Упс.... Интересно.... Вообще-то это чья-то машина в моем сегменте сети у провайдера (может она даже есть в результатах сканирования сети на машине) и она не пострадала (пользователю не нанесен ущерб). Но, Cain&Abel (по-крайней мере та версия, которая установлена у меня) ТОЧНО не работает с радиокартой (по-крайней мере с Cisco 350) - он просто ее и, соответственно, сеть не видет. В настройках Cain&Abel указан сетевой адрес 127.0.0.1 - это, насколько я понимаю, замыкание на себя, т.е. работа программы происходит ТОЛЬКО на локальной машине.
  Обратите внимание на записи ниже - в 16:19:58 ZoneAlarm  перекрывает мне доступ - с моим родным адресом 10.17.0.181. К чему бы это?
  Кстати - у меня бывало такое - ZoneAlarm матерится и говорит что-то типа: "Изменен сетевой адрес. Принять адрес такой-то по-умолчанию?". Если говоришь "НЕТ", то получаешь облом с работой в сети. Поэтому приходилось говорить ему "ДА", после чего работа в сети шла без проблем. Сейчас меня терзают смутные сомнения - не здесь ли собака порылась??? Но тогда как быть с MAC-адресом - его ведь как-то тоже изменить нужно было...

Зачем ваш компьютер пытался слать IGMP пакеты, мне вообще не очень понятно.

В любом случае, отзыв на саму экспертизу Николай Николаевич уже дал. Резюмируя - выполнена с заметными недостатками и в процессуальном и в техническом плане. Пытаться на основании только этих данных сделать вывод о том, что же было или могло быть на самом деле - все равно, что доктору пытаться поставить больному диагноз по телефону, когда тот на все вопросы отвечает только: "У меня вот тут болит". - надеясь, видимо, что доктор телепат и сумеет по телефону разглядеть. Не будучи телепатом, я разглядеть издаля не возьмусь, предположений можно нагенерить сотни, но достоверность у них - ноль или близко к тому.

Действительно, система авторизации и учёта трафика у провайдера устроена неизвестным нам образом. Образно говоря, чёрный ящик. На выходе этого чёрного ящика вдруг засветилось "mozhaev". О чём это говорит? Что было подано на вход?  Мы можем строить догадки об этом, но без подробного исследования (хотя бы описания) провайдерской сети утверждать ничего нельзя.

При одной конфигурации оборудования приведённые логи будут означать неправомерный доступ с указанного компьютера. При другой конфигурации те же логи трактуются как неправомерный доступ с неизвестного компьютера. При третьей конфигурации они означают ошибку или даже подлог со стороны провайдера.

Я бы давил именно на это обстоятельство. И ещё на процедуру получения логов.

СЕГОДНЯ И ЗАВТРА НА СУД!!!
Чем закончится - отпишусь.... может года через два... :(

ЗЫЖ Слава Богу, - судья сама на работу позвонила: "Вы не забыли, что сегодня в 14-00 состоится процесс?". Если б не она, так и не узнал бы... Повестку не получал!!!

ЗЗЫЖ Скорее всего с сегодня придется перенести - адвокат-то еще не знает - где-то в суде торчит, мобила отключена.

Желаем удачи! Будем с нетерпением ждать результатов судебного заседания (надеюсь, положительных для Вас). :D

Было бы интересно узнать, на каких доказательствах построит свое обвинение прокурор и как к ним отнесется суд (примет или не примет)... 8)

А также какими доказательствами будет оперировать защита. ;)

CyberCop, Вам не кажется, что пожелание удачи zampolit'у  из Ваших уст все-равно, что кусок мыла предлагаемый палачом?

Хотя, я понимаю, что вы это сделали от чистого сердца.

Спасибо за пожелания!
  Коротко - на суд пришел я со своей бандой (два свидетеля, два спецмалиста и адвакат) - с одной стороны и представитель прокуратуры - с другой....
  Кина не было. Познакомились, послушали обвинительное заключение, я сказал, что в целом понимаю в чем меня обвиняют и открестился от предъявленного мне обвинения. Порядок утвердили такой: сначала выступает сторона обвинения, а потом мы. Ходатайство о вызове на процесс свидетелей, специалистов и эксперта суд удовлетворил, правда, перед этим мне пришлось объяснить суду - кто что будет рассказывать и подтверждать. В связи с тем, что потерпевшие и свидетели с их стороны не явились, заседание было перенесено. Следующий срок - 19 июля 2005 года в 10 часов... и на весь день.

ЗЫЖ Просмотрел статистику выхода в сеть и те данные которые мне предоставил тех.отдел провайдера за 6 декабря 2004 года (напомню - в этот день мы были на дне рождения и комп был выключен). Так вот - по статистике я выходил в интернет до 17 часов , а по сведениям из техотдела - пользователь с логином mozhaev последний раз регистрировался в 15-50 (т.е. работал до 15-50). НЕ ПОНЯЛ!!! я работал до 17ч., после этого пришла супруга, я загасил машину и мы уехали из дома.

ЗЗЫЖ Как мне стало известно - Забайкальский ботанический сад (один из потерпевших) должен был ликвидирован до 31 декабря 2004 года. Процесс ликвидации начат с января 2004. Интересно: откуда в данной организации были деньги по соответствующий статье расходов и на кой им здалась в таком случае выделенка? Вентиляция этого вопроса поручена ревизору, который будет проверять эту конторку. Кстати - директор ботаников - в декрете, а главбух вышла замуж и исчезла... Во дела!

ЗЗЗЫЖ К сожалению - один из специалистов ко второму заседанию уедет в коммандировку на 6 мес. в Ханкалу :-(( Судья сказала, чтоб я лучше нашел замену - письменное заключение не принимает - ей нужно позадавать вопросы...

   ВСЁ!!!! НАЧАЛОСЬ!!!!!!!! Поехал к адвакату, проштудируем мои перлы: 10 листов моих объяснений (с анализом экспертизы, указанием на не состыковок и пр.), 6 листов для адоката по обвинительному заключению (с отбриванием доказательств, анализом законодательства, наездом н апровайдера и наездом АСФАЛТОУКЛАДЧИКОМ на эксперта), 2 листа для адваката по экспертизе (ЗАКРАШИВАЕМ ТО МЕСТО, ГДЕ ПРОЕХАЛ АСФАЛЬТОУКЛАДЧИК)... Думаю должно хватить... На всякий случай дернул сертификат по Цискам 351 серии - срок действия до 20/09/2004.

ЗЫЖ При анализе законодательства - без проблем отстригается ч.1 ст.272 УК РФ... НО ВОТ ч.1 ст.165 УК РФ - это труба.... под нее можно и Иисуса подвести (прости меня Господи). Бью всем, чем могу. Из 6 листов - 2 на ст.272, а остальное на ст.165.....
   Пожуем - увидем!!!

Насвистывая под нос "Интернационал" удаляюсь к адвокату.....

   Всем доброго здоровья!
  Прошел вчера суд... из потерпевших процесса дождался только один человек (оказался бывшим сотрудником отдела "К", окончил ТИАСУР, в процессе пытали как специалиста), ген. директор провайдера вернулся попозже, был свидетель - техник провайдера (тоже пытали как специалиста), мои свидетели (жена, ее подруга, и еще один знакомый из ФСБ), мой специалист (отпустили домой - времени не хватало на его допрос).
  В процессе допросов представитель прокуратуты (по-моему - лично сам прокурор моего района) грузил спецов, потерпевших и свидетеля от провайдера так, что даже мне их стало жалко - мой адвокат относился к ним, мягко говоря, БОЛЕЕ лояльно!
  В ходе этих "пыток" все специалисты показали, что доступ мог совершить кто угодно и как угодно, что логины и пароли можно украсть или подобрать, что все пользователи в радиосети провайдера имеют доступ друг к другу без ограничений. Мне удалось выпытать, что провайдер не имеет никаких лицензий, кроме лицензии на оказание телекоммуникационных услуг, имеет разрешение на установку радиобазы. Также САМ ген. директор заявил, что они знали, что их система не защищена, но даже не думали "что кому-то в голову придет воспользоваться столь явными способами для того, чтобы пользоваться Интернетом за чужой счет. Это так же как угнать автомобиль со стоянки УВД". При этом ген. директор пытался объяснить суду, что логины их пользователей не возможно просто так узнать. Пришлось вывести на чистую воду, спросив его - как производится оплата услуг пользователями. При этом он опять начал юлить: "Для оплаты услуг используется другой логин, нежели при соединении", эта чушь была легко парирована тем, что в договоре указан единственный логин, который, кстати, регистрируется сервером провайдера при соединении (у меня - mozhaev). Таким образом, любой человек, постоявший в офисе првайдера, ознакамливаясь с прайсами, договорами и т.п., а также находящийся рядом с офисом, легко узнает логины законных пользователей.
  Кроме того, удалось выудить из ген. директора провайдера заветные фразы о том, что IP и MAC адреса не являются коммерческой тайной, а вего-лишь - техническая информация!!!!
  Прикол был тогда, когда ген. директор не согласился с формулировкой ст. 272 УК РФ, пытаясь предложить суду свою - новую статью ;-))). Короче - сам ген.директор туп в вопросах железа (об этом он заявил сама)
  Таким образом, я думаю, ст.272 УК РФ отвалится сама-собой. Проблема таки в 165.

Следующее заседание назначено на 19 августа.

ЗЫЖ Да, и еще! Все спецы утверждают, что возможнсоть использования моего компьютера в качестве промежуточного есть, что хвосты в этом случае остануться у меня, а негодяй не будет обнаружен. Все хором говорят, что доказать то, что именно я имзенял адреса и именно я ползал с чужими сетевыми параметрами НЕ ВОЗМОЖНО! что тоже греет душу... Ну говорил же я операм в отделе "К" - не теми методами работаете, по другому надо.... неслухи.... ну и их проблемы.

zampolit, я не читал Ваше дело и это, честно говоря, совсем не входит в мои планы. Но не могу не сказать о том, что выяснить логин ОЧЕНЬ многих клиентов различных компаний не составляет большого труда даже для неспециалиста. Ломай, как говорится, не хочу. Если пароль подобрать сможешь и не боишься поиметь потом проблем, конечно. Более продвинутые люди могу выяснить некоторую информацию и без наличия пароля. Таково устройство сети + в отдельных случаях еще и полная непредусмотрительность, а иногда и вопиющее ламерство сисадминов, прочих тех.специалистов компаний, программеров.

Поднимаю тему....
Спустя 8 месяцев судебной тяжбы дело приобрело неожиданный (для всех кроме меня) оборот!
Коротко обо всем:
1. Потерпевших пришлось вылавливать майками по городу, т.к. по вызову почти никто не являлся. Принудительный привод тоже не дал результатов (вот здесь я уже окончательно разочаровался в правоохранительных и правоприменительных органах, хотя полное разочарование еще было впереди...)
2. Все поетрпевшие (которых удалось затащить в суд) заявили, что проблем с работой в Интернет не было, а скончавшийся предоплаченный трафик восприняли как должное, т.к. во-первых - с этим провайдером постоянно возникают проблемы с выходом в И-нет, а во-вторых - у всех трафик был предоплачен в начале года, и средства уже были на исходе. Исключение составили китайцы, которые днем закинули на счет пару тысяч, а утром следующего дня трафик был израсходован.
3. Единственный грамотный потерпевший (которого суд и я "использовали" в качестве специалиста - закончил ТИАСУР, работал в отделе "Р") после моих объяснений в письменном виде (копия объяснений была вручена ему судьей с просьбой ознакомиться, выявить не соответствия и задать мне вопросы в суде) потерял к суду всякий интерес и больше не присутствовал (а жаль...)
4. Моих свидетелей, подтверждающих алиби суд выслушал, но, видимо, проигнорировал...
5. Ген. директор провайдера в зале суда выступал в роли придворного шута, развлекая суд рассказами об атаках с Марса, и изобличении меня в качестве ливанского террориста (последнее - когда я высказал свое предположение о возможной целесообразности проникновения из сети на мою машину - являясь замполитом роты/батальона я обрабатывал некоторые документы на своей машине, которые могли заинтересовать узкоплёночных товарисей)
6. Все укзазания на несоответствие трафика, выход в И-нет в то время, как компьютер был у меня изъят, а так же записи в логах сервера провайдера об отказе в моей рагистрации в сети (якобы - пользователь с моим логином уже зарегистрирован - очевидный факт существования "двойника" или сбоев в оборудовании или софте провайдера) суд проигнорировал, а провайдер сказал, что это могли быть сбои в работе его оборудования, и что на это не стоит обращать внимания.
7. Предложение суда (через адваката) о признании своей вины с обещанным прекращением дела за деятельным раскаянием я отверг. Правда в предложении судья сказала, что "если не согласится, то будет назначена еще одна экспертиза и приговор будет обвинительным".
8. Наше ходатайство о назначении повторной эксперизы с 26 подробными вопросами судья отклонила. Это был наш ответ на предложние о "деятельном раскаянии".
9. Последним перед прениями (которых так и не было) ходатайством с нашей стороны было ходатайство о признании постановления районного прокурора об отмене постановления следователя военной прокуратуры о прекращении в отношении меня уголовного преследования незаконным, и вынесенным с превышением должностных полномочий (ссылка шла на приказ ген. прокурора о разграничении деятельности специализированных прокуратур).
10. Наконец-то вспомнив, что на момент инкриминируемого мне преступления я был военнослужащим, судья удовлетворила ходатайство и вынесла постановление о направлении дела в военную прокуратуру, пояснив, что все доказательства, собранные после отмены постановления следователя военной прокуратуры о прекращении уголовного преследования в отношении меня, являются не допустимыми. Короче - дело завернули в военную прокуратуру на их усмотрение - отменять постановление и продолжать следствие или же оставить все как есть и положить этому делу конец.
11. После того, как адвакат зачитал ходатайство, ген. директор провайдера прямо в зале суда встал и заявил, что все-равно выбьет с мены оставшиеся 10 т.р., или в темном подъезде/переулке выбъет мне пару зубов. При этом он посетовал, что процессуально у него развалено уже 30 подобных дел (хотя всегда заявлял, что подобных проблем с кражей трафика у него не было...)

  Итого - дело в аморфном состоянии. По окончанию всей чехорды еще придется судиться с провайдером по подключению к сети, т.к. И-нет нужен моей жене для написания диссертации... Хотя я предполагаю пригласить провайдера в момент возвращения мне компьютера, чтобы он лично убедился в неработоспособности компа. Думаю, что больше у него вопросов не возникнет.

С чего такая уверенность?

А какая разница? Дело уже развалено. Вступает в силу презумпция невиновности. Мало того, при кассации очень даже неплохо будет смотреться отказ суда в удовлетворении ходатайства по делу, что может свидетельствовать о предвзятости и/или необъективности.

Ну и публично (судебные заседания были открытые для посещения публикой) высказанная угроза жизни и здоровью - это уже 119 УК. Так что, надо предложить гендиректору прекратить преследование на основании 25 УПК РФ - примирение сторон, а самому потом не дергаться на него по 119 УК. Не надо дразнить гусей.

Urix, вопрос относился к уверенности в неисправности компьютера.

Вот я и говорю, что при общей картине этот вопрос уже не имеет особого смысла. Как лишнее доказательство того, что следак и эксперты лоханулись? Ну это и так понятно. А так он еще вчинит ущерб за неработающий компьютер. Наглость не имеет границ.

Ущерб от неспнкционированного доступа и ущерб от неисправности компьютера покрывают друг-друга. Примирение сторон - это с моей точки зрения наилучший исход для всех в этой ситуации.

А то, чего доброго, гендиректор еще потребует суда присяжных. А те уже будут судить не по формальным признакам, а по смыслу происходящего. Тут уже на "мог - не мог" расчитывать не приходится. Вынесут, как излишне хитрому, вердикт "виновен в 272 УК и 165 УК" и вся недолгА.

Понял. Я просто не рассматривал в вопросе "работающий"-"не работающий" компьютер как еще одно из доказательств. Т.к. на момент отдачи и так все ясно - обвиняемый не виновен.

А после драки кулаками и шашками не машут...

1. Ну... суд присяжных относится к гражданским судам (общей юрисдикции). Мое же дело вправе рассматривать только военный суд (надеюсь, что до этого не дойдет...)
2. Цель демонстрации неработоспособного компа только в том, чтобы доказать-таки твердолобому ген. директору, что я не причастен ко всему этому безобразию с трафиком.

Скорее всего, это у него гражданская позиция такая, что Вы виновны. А работает Ваш комп или нет, собственно , значения для него не имеет.

"Надежды вьюношу питали...". Преступление по ст.272 УК действительно не относится к подсудности военного трибунала или военно-полевого суда и было совершено, скорее всего, в свободное от несения службы время, не по заданию командования и не в силу служебной необходимости. Иначе Вас бы давно "отмазали". Так что пусть уж лучше будет гражданский суд. Но, после Вашего оправдания за недоказанностью, в частном определении судья может поставить вопрос перед командованием о рассмотрении Вашего дела судом офицерской чести в части, касающейся морально-нравственной составляющей. Так что у обвинения есть в запасе и такой "ходульник".

Надо "соглашаться на ничью" и быстрее, пока стрелка на часах не упала.

  Не смешите мои тапочки... Суд чести... Это, к сожалению, кануло в Лету вместе с Советской армией, да и там в последнее время все это было похоже на пародию. Я, между прочим, после того, как мне стало известно об уголовном деле, пришел к командиру полка и лично доложил обо всем. Единственное, что я при этом услышал: "Вы в отпуске?- Вот и отдыхайте." Вы про армию, навреное, по книжкам/рассказам/фильмам знаете. Открою глаза: Устав считается недосигаемым идеалом.
  В любом случае - я уволился в феврале 2005 года, сразу после вынесения постановления о прекращении уголовного преследования в отношении меня. Счас работаю на федеральной гос. службе (гражданской).
  Кстати, если я не говорил ранее: эксперт в зале суда признался, что все его вводы в части смены адресов и использовании программы SMAC являются его догадками. Точное заключение он дать не может, т.к. не является специалистом в области сетевых технологий (и тем более беспроводных сетей - это с его слов).

  Меня интересует другой вопрос:
Суд направляет дело военному прокурору на основании ч.1 ст.237 УПК. У прокурора есть 5 суток на устранения препятствий для рассмотрения дела судом. Вопрос - когда истекает срок?
  Мой ход мыслей: постановление от 27.02.2006 всупает в законную силу через 10 суток со дня вынесения, т.е. 8.03.2006. Прокурору дается 5 суток, т.е. 13.03.2006 должно быть составлено новое обвинительное заключение или вынесено постановление о прекращении дела (или уголовного преследования). Все верно или я где-то ошибся?

PS: Завтра схожу в военную прокуратуру, к следователю, который вел мое дело. Почирикаем с ним - к чему склоняются...

Это при Совке суд офицерской чести, который был достижением Русской Армии, превратился в фарс. Вы даже это не знаете. Жаль.

А может быть это к лучшему, что Вы уволились со службы в армии. Глядишь, со временем  в Российской Армии опять возродится институт Суда Офицерской Чести. Я тут в метро недавно встретил воспитанника Московской Навигацкой Школы с его мамой. Молодому человеку лет 8-9, а как важно и с каким достоинством он носит свою форму, с каким достоинством он отвечал на мои в общем-то непростые вопросы, как не терялся и честно говорил, что что-то он еще не знает, как непринужденно и в то же время степенно, с чувством собственного достоинства он участвовал в беседе. Я его не экзаменовал, а с разрешения его мамы вел с ним беседу, чтобы занять время в дороге. Видно было, что ему где-то и прыснуть от смеха хотелось, и проявить по мальчишески эмоции. Расставаясь, я пожелал ему всяческих успехов, на что он мне ответил: "Благодарю Вас, сударь". У меня аж слеза проступила от гордости за него, за Россию и ее будущее. Я не дряхлый старик, сам в свое время и относительно недавно носил погоны, но меня поразил этот маленький еще, но уже сейчас состоявшийся будущий Офицер Российской Армии и/или Флота.

Да, а что касается суток, то посмотрите УПК. Срок истекает в 24 часа последних суток.

  Хм... Такое чувство, что Вы думаете обо мне, как о последней сволочи... На самом деле я сам пробивал обеспечение гарантированных прав и отбривал возложенные "сверхобязанности" для офицеров в своем подразделении. Одна только дебильная система взысканий и поощрений добивала - как минимум одна-две записи в служебной карточке в месяц, причем без разницы за что - меня лично и наказывали и поощрали за одно и тоже в одном приказе =8-0
  Короче - это отдельная тема для разговоров.
  По срокам - я прекрасно знаю о 24 часах! Вопрос в другом - с какого момента будут течь сроки, а именно - 5 суток, в течение которых прокурор должен устранить препятствия для рассмотрения дела судом? Учитывается ли при этом "время следования материалов дела от суда до прокуратуры" - т.е. из суда дело могут отправить на черепахе и оно доедет туда только через 3 месяца. ИМХО в этом случае срок будет пропущен. Или же 5 суток - с момента поступления материалов дела прокурору?

Боже упаси Вас так думать. И в мыслях не держал, иначе "Вы" не писал бы и вообще молчал бы. Просто, если бы Ваше дело рассматривал настоящий Суд Офицерской Чести, то я бы Вам не позавидовал. Бывало, честные офицеры стрелялись только от одного подозрения. Гипертрофированный идеализм - это ведь тоже не есть хорошо. А поскольку такого суда сейчас в армии нет, то Вам повезло, что Вы проскочили мимо этого дела.
Срок начинает исчисляться с момента вынесения приговора+10 суток на кассацию, после которых приговор вступает в силу. Если суд приступил к рассмотрению дела, то передача дела по подсудности в другой суд уже недопустима. Хотя и здесь есть лазейки.
В общем, посмотрите внимательно в УПК продление сроков и основания продления сроков.

  Сходил в военную прокуратуру. Следователя не застал (догоню позже). В канцелярии перерыли журнал входящей корреспонденции - дело из суда не приходило. Забавно... они что его - почтой отправили или как? Насколько мне известно: материалы дела должны были отвезти курьером или, на худой конец, фельдсвязью. Но фельдсвязь в черте города - это уже идиотизм!!!
  По срокам: исходя из положений УПК - 5 суток начинает течь после вступления постановления суда в законную силу (10 дней после вынесения). НО если материалы отправят почтой (что навряд ли, т.к. денег на отправку повесток у суда даже не было), то эти 5 суток начнуть тикать со дня поступления материалов (и постановления, соответственно) в прокуратуру. ИМХО так получается.