Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: Николай Николаевич Федотов от 06 Январь 2007, 14:34:02



Название: Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 06 Январь 2007, 14:34:02
Коллеги, я весьма заинтересован получить комментарии и критику относительно этой статьи (http://www.securitylab.ru/contest/285274.php).


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 06 Январь 2007, 14:49:58
Цитировать
Изъятые логи либо распечатываются на бумаге и прилагаются к протоколу, либо записываются на компьютерный носитель, который опечатывается и хранится в деле. Лучше совместить оба способа.
Угу. Распечатывать  логи не на бумаге, а на компьютерных носителях.

Цитировать
а также вопросы о возможности случайных ошибок,
На абстрактные вопросы типа "в чем смысл жизни?" эксперты не отвечают. А сформулировать все граничные условия нормальный следователь вряд-ли сможет.
Лично я бы отказался отвечать на такой вопрос сославшись на то, что в ходе экспертного эксперимента не представляется возможным воспроизвести все условия в которых функционировала исследуемая система. ;)

Цитировать
Сами по себе логи никакой доказательной силы не имеют.
:o  ???
УПК РФ:

Статья 74. Доказательства

1. Доказательствами по уголовному делу являются любые сведения, на основе которых суд, прокурор, следователь, дознаватель в порядке, определенном настоящим Кодексом, устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию при производстве по уголовному делу, а также иных обстоятельств, имеющих значение для уголовного дела.

2. В качестве доказательств допускаются:

1) показания подозреваемого, обвиняемого;

2) показания потерпевшего, свидетеля;

3) заключение и показания эксперта;

3.1) заключение и показания специалиста;

4) вещественные доказательства;

5) протоколы следственных и судебных действий;

6) иные документы.

Цитировать
В качестве альтернативы изъятию сервера целиком возможно снятие на месте полной копии его дисков при помощи специализированного аппаратного устройства или программным способом. Копия диска или образ диска затем передаётся на экспертизу с такими же вопросами.
Вы Россию с США (или какой другой цивилизованной страной) не путаете?  ;D
Может я проглядел, а где в УПК написано, что на экспертизу можно представить не сам объект а его копию (еще и снятую черти-чем)?

Мне очень интересно, скажем, КАК эксперт-химик может по фотографии определить является ли изъятое вещество наркотическим средством и массу изъятого наркотического средства  ;D


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 06 Январь 2007, 15:13:07
Николай Николаевич! Я один умный вещь скажу, только ты не обижайся. Статья хорошая для 80-х годов прошлого века. Выводы неверные. Причина - не учтены операции с информацией. Есть всего четыре операцуии с информацией: Read (выборка), Write (добавление), Delete (удаление), Modify (изменение). Для того, что бы логи имели силу документального доказательства необходимо организовать работу по сбору логов (протоколов событий) так, что бы были категорически запрещены операции удалени (Delete) и изменения (Modify) информации. Например, если логи сразу пишутся на CD-ROM, а система записи вместе с CD-ROM-ами и механизмом подачи болванок находится в опломбированном нумерованном невскрываемом контейнере, который имеет только сигнальную и силовую "дырдочки".

Не понимаю, почему так не делается? Вариант абсолютно железобетонный.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 06 Январь 2007, 15:14:57
Не понимаю, почему так не делается? Вариант абсолютно железобетонный.
Однако, железобетон нынче шибко дорогой. ;D


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 06 Январь 2007, 15:21:00
Цитировать
Однако, железобетон нынче шибко дорогой.
1000 болванок по $0,1 = $100 + $50-$80 "умный" CD-WRITER + $100-$150 механика с контейнером = $300-$350. Ну пусть $500 с компрессией, параллельным чтением и другими наворотами. Дешевле домашнего компа. При массовом производстве цена упадет еще процентов на 30. Ессесно, что это не "для дома, для семьи". А  операторам связи и банкирам - милое дело. Дешево и сердито. И как неизменяемый внешний хранитель данных (бэкап) можно использовать даже дома. А если использовать DVD-ROM-ы, то объем будет уже исчисляться террабайтами, при увеличении стоимости процентов на 20-30. Это почти год записи логов даже для крупного провайдера или банка.

А еще интереснее на флэш-памяти. Объем (пространство) существенно меньше и есть возможность многократного использования пространства. Хотя флэши для банков не подходят. Тут Китай вмешивается. Любят они делать все дешево и открыто. Для провайдеров и других не столь критичных случаев сойдет.


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 06 Январь 2007, 15:42:45
На абстрактные вопросы типа "в чем смысл жизни?" эксперты не отвечают. А сформулировать все граничные условия нормальный следователь вряд-ли сможет.
Лично я бы отказался отвечать на такой вопрос сославшись на то, что в ходе экспертного эксперимента не представляется возможным воспроизвести все условия в которых функционировала исследуемая система. ;)
Согласен. Учёл.



Цитировать
Сами по себе логи никакой доказательной силы не имеют.
:o  ???
УПК РФ:

Статья 74. Доказательства
1. Доказательствами по уголовному делу являются любые сведения, на основе которых суд, прокурор, следователь, дознаватель в порядке, определенном настоящим Кодексом, устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию при производстве по уголовному делу, а также иных обстоятельств, имеющих значение для уголовного дела.

Именно так: сами логи доказательством не являются. Они, конечно, являются "иным документом", но судья сам логи не анализирует. Интерпретация логов требует специальных знаний. То есть, логи не подходят под определение из ст.74.


Может я проглядел, а где в УПК написано, что на экспертизу можно представить не сам объект а его копию (еще и снятую черти-чем)?
Копия электронного документа имеет ту же юридическую силу, что оригинал.

Что же касается вашего намёка на "чёрт-те что"... Другие инструменты криминалиста - фотоплёнка, копировальный аппарат, перекись водорода - имеют ничуть не больше сертификатов, чем программа dd.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 06 Январь 2007, 15:47:52
Цитировать
Интерпретация логов требует специальных знаний.
Равно как и интерпретация состояния тканей трупа. Да и в других случаях тоже специальные знания нужны.
Цитировать
Они, конечно, являются "иным документом"
Для документа должно быть доказано, что в течении заранее обусловленного времени (время действия документа) информация на этом документе не подвергалась изменению. Т.е., должен быть механизм доказательства подлинности документа. При наличии операции Delete и Modify таких доказательств может и не оказаться. А вот принципиальная невозможность применения таких операций к информации документа как раз и является доказательством неизменности документа на каком бы носителе он ни был записан.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 06 Январь 2007, 16:07:34
Именно так: сами логи доказательством не являются. Они, конечно, являются "иным документом", но судья сам логи не анализирует. Интерпретация логов требует специальных знаний. То есть, логи не подходят под определение из ст.74.
Получается, что все документы (или, скажем,  аудиозаписи), написанные не на русском языке, не могут являться доказательствами в суде, т.к. судья не обязан знать, например, китайский язык. Круто. А переводчики на что?

Копия электронного документа имеет ту же юридическую силу, что оригинал.
Вы путаете технические и правовые термины. Для начала, скажите ка нам какие реквизиты, с точки зрения Российского законодательства, должен иметь электронный документ?

Что же касается вашего намёка на "чёрт-те что"... Другие инструменты криминалиста - фотоплёнка, копировальный аппарат, перекись водорода - имеют ничуть не больше сертификатов, чем программа dd.
Не сочтите за рекламу. Министерство юстиции России проводит сертификацию средств для производства компьютерных экспертиз.

Никогда не слышал чтоб, например, на дактилоскопическую экспертизу представляли фотографию следа руки а не сам след.  ;) Почему так?  ::)


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 06 Январь 2007, 16:23:15
Цитировать
Никогда не слышал чтоб, например, на дактилоскопическую экспертизу представляли фотографию следа руки а не сам след.
Никогда не слышал, чтобы при проведении сравнения дактоузоров в ЭКО приглашали всех, чьи "пальчики" имеются в дактотеке. Почему-то пользуются дактокартами (зафиксированными изображениями узоров).
Цитировать
Министерство юстиции России проводит сертификацию средств для производства компьютерных экспертиз.
Я тут недавно на рынке тоже видел сертификат на протухшую колбасу. А как сертифицирует МинЮст мне известно, сталкивался.


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 06 Январь 2007, 16:32:09
Не сочтите за рекламу. Министерство юстиции России проводит сертификацию средств для производства компьютерных экспертиз.
Очень интересно. Не имея ни одного грамотного эксперта, судить об инструментарии других экспертов... Гм. Вот когда будет законодательно установлена обязательность пользования лишь сертифицированными МЮ средствами, тогла и поговорим.

Никогда не слышал чтоб, например, на дактилоскопическую экспертизу представляли фотографию следа руки а не сам след.  ;) Почему так?  ::)
А вы слышали о случаях, когда предмет, содержащий отпечаток, невозможно доставить на экспертизу? Тогда вместо следа представляется его копия на... кажется, это называется следокопировальная плёнка. А вместо отпечатка обуви - его слепок.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 06 Январь 2007, 16:44:51
Т.е. насчет переводчиков и текстов на иностранных языках - возражений нет?

Я вот еще о чем подумал, а что собственно, с процессуальной точки зрения, будут исследовать эксперты/специалисты, если ранее изъятые логи не будут признаны вещ.доками по делу? ::)


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 06 Январь 2007, 16:49:00
Цитировать
Т.е. насчет переводчиков и текстов на иностранных языках - возражений нет?
Переводчик выполняет те же функции, что и эксперт, т.е. специалист, обладающий расширенными знаниями в определенной области.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 06 Январь 2007, 16:49:49
Никогда не слышал, чтобы при проведении сравнения дактоузоров в ЭКО приглашали всех, чьи "пальчики" имеются в дактотеке. Почему-то пользуются дактокартами (зафиксированными изображениями узоров).
Вы путаете предварительное исследование (которое не является процессуальным действием) с экспертизой (процессуальным действием).


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 06 Январь 2007, 17:01:17
Еще замечания к статье.

Цитировать
Не могут являться доказательством логи (их копии, распечатки, акты осмотра), полученные заинтересованной стороной.
С какого перепугу?


Автор не заслуженно умалил достоинство функций хеширования используемых во всем цивилизованном мире при исследовании цифровых доказательств.



Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 06 Январь 2007, 17:37:01
Т.е. насчет переводчиков и текстов на иностранных языках - возражений нет?
Я должен над этим подумать. Может быть, возражения появятся.

Цитировать
Автор не заслуженно умалил достоинство функций хеширования используемых во всем цивилизованном мире при исследовании цифровых доказательств.
Автор умалил их совершенно заслуженно. Хеширование относится ко криптографическим преобразованиям. И здесь, в отличие от программы dd, без сертификации инструмента обойтись сложно.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 06 Январь 2007, 18:17:10
Цитировать
Вы путаете предварительное исследование (которое не является процессуальным действием) с экспертизой (процессуальным действием).
А не подскажете, как можно использовать результат непроцессуального действия при проведении процессуального действия? Как можно ответить на заданный в процессуальной форме вопрос "кому принадлежит данный отпечаток" не совершая процессуальное действие? Любое действие, направленное на дачу ответа на поставленный процессуальный вопрос, является процессуальным именно с момента вынесения постановления о производстве процессуального действия (в данном случае экспертизы). Иначе, любые действия, совершенные в нарушение УПК без вынесенного постановленияя следователя или суда, считаются противозаконными и не могут быть положены в основу обвинения. Посмотрите УПК и решения ВС по аналогичным вопросам. Отрицательный результат - тоже результат и доказывает исследование различных версий, т.е. объективность и всестороннесть проводимого расследования.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 06 Январь 2007, 18:29:54
Иначе, любые действия, совершенные в нарушение УПК без вынесенного постановленияя следователя или суда, считаются противозаконными и не могут быть положены в основу обвинения.
Дык они и не ложатся в основу обвинения. В основу обвинения ложатся результаты экспертизы.  Но это другая песня.

Urix,  а что Вы думаете о том, что Николай Николаевич не отразил необходимость использования функций хеширования для подтвеждения целостности изымаемых данных?


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 06 Январь 2007, 18:55:17
Цитировать
Urix,  а что Вы думаете о том, что Николай Николаевич не отразил необходимость использования функций хеширования для подтвеждения целостности изымаемых данных?
Сравнение по результату хэширования всегда имеет вероятностный характер. Точный ответ на поставленный вопрос может дать только исследование исходного кода, а не его отображения хэш-функцией. Кроме того, изменение одного бита в исходном коде приводит к получению другого отображения, в то время как исследование исходного кода может дать истинный результат. Например, когда в логах вместо некоторых заглавных букв используются прописные. Смысл не меняется - событие произошло, а хэши разные.
Цитировать
Дык они и не ложатся в основу обвинения. В основу обвинения ложатся результаты экспертизы.
Еще в прошлом веке было решение ВС по аналогичному случаю, когда у защиты имелись доказательства проведения непроцессуальных предварительных действий, на основе которого дело было развалено, как необъективное. Когда результаты "подгонялись" под желаемый результат, а значит была фальсификация. Рискуете нарваться на ушлого адвоката, читающего постановления ВС и судебную практику.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 06 Январь 2007, 19:04:23
А предварительные исследования, как правило, проводятся в рамках ФЗ Об оперативно-розыскной деятельности.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 06 Январь 2007, 19:44:30
Цитировать
А предварительные исследования, как правило, проводятся в рамках ФЗ Об оперативно-розыскной деятельности.
Это после возбуждения уголовного дела? Как это? В рамках оперативной проверки или доследственной проверки еще куда ни шло. Но и тогда это не имеет силу доказательств. И будет иметь силу только после возбуждения УД, только в результате процессуальных действий.


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 06 Январь 2007, 20:55:17
Еще замечания к статье.

Цитировать
Не могут являться доказательством логи (их копии, распечатки, акты осмотра), полученные заинтересованной стороной.
С какого перепугу?
М-да... Конечно, следовало выразиться по-другому. Не могут являться самостоятельным доказательством логи, полученные заинтересованной стороной. Их доказательное значение ровно такое же, как у свидетельских показаний лица, получившего эти логи. С поправкой на возможную некорректность генерирующей логи программы.


Название: Re:Статья: Доказательная сила логов
Отправлено: Dmitry от 07 Январь 2007, 10:45:12
Цитировать
Таковым обоснованием является лишь наличие известной ошибки, которая:

а) подтверждена службой техподдержки производителя, его уполномоченного представителя (дистрибутора, реселлера) или компетентной организацией, занимающейся учётом ошибок и уязвимостей;

Безусловно хорошо, если это есть, не уверен, однако, что это должно быть обязательным условием - что, если речь идет об узкоспециализированом ПО, не входящем в сферу первоочередных интересов сторонних компетентных организаций, производитель которого по каким-либо причинам не желает, к примеру, публично предоставлять подобные подтверждения? Да и почему у суда должно быть больше доверия к заявлениям производителя (а уж тем паче реселлера) или сторонней специализированной организации, пусть даже очень уважаемой и компетентной - неужели сотрудники этих организаций (по сути в данном случае выступающие в роли тех же экспертов, но за рамками процессуальных норм) априори должны полагаться судом более профессиональными, квалифицированными, заслуживающими доверия, чем эксперт, приглашенный самим судом. Да, полагаю, что если подобные подтверждения существуют, ИМХО, эксперту достаточно сослаться на них в подтверждение своих выводов, но думаю было бы неправильно признавать это единственно правильным и возможным, заведомо исключая из рассмотрения, например, ошибки, обнаруженные в ходе исследования самим экспертом. Готов предположить, что было бы, возможно, целесообразным внести в нормативные документы требование, что в последнем сулучае, сообщение об обнаруженной ошибке обязательно должно быть отправлено экспертом в указанные вами компетентные организации и производителю. И в этом случае суд уже в рамках стандартной процедуры может по своему усмотрению запросить у них подтверждение, если сочтет это необходимым.

Цитировать
Следует учитывать лишь два фактора: возможную намеренную фальсификацию логов каким-либо лицом и уничтожение логов по истечении установленного срока хранения.
Возможно это относится в большей степени к предыдущему параграфу, возможно это пограничный случай. Неоднократно сталкивался с нарушением целостности логов на границе кластера/сектора НЖМД, из-за того, что при аварийном выключении компьютера последние записи, уже обработанные syslogd, так и не были сброшены из кэша и при последующем запуске лог продолжался с границы сектора, при этом последняя запись в предыдущем секторе файла журнала могла обрываться посередине, а некоторые записи оказывались пропущенными.
Цитировать
Сомнения по поводу намеренного искажения логов не могут возникнуть лишь в силу существования самой технической возможности их искажения. Для обоснованности сомнений требуется наличие признаков, свидетельствующих о факте доступа на запись к логам.
+1


Чисто стилистически по параграфам про изъятие и интерпретацию усилил бы акцент на необходимость полного копирования при наличии технической возможности. Никто заранее не может сказать, что и как будет обнаружено в логах и какие дополнительные материалы и сведения могут понадобиться для анализа, по иронии как раз в случаях, когда кажется все заранее достаточно очевидно и прозрачно, зачастую в последствии выясняется, что некоторые нюансы были упущены из внимания, а соответствующая информация не была изъята или неполна. Более того, например, при воникновении подозрения на возможную умышленную фальсификацию логов или искажение в случае ошибки ПО, при полном изъятии есть все-таки дополнительная вероятность обнаружить недостающую информацию, например, в области подкачки, обнаружить более явные следы фальсификации, а возможно и неискаженные записи или фрагменты, и т.д.


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 07 Январь 2007, 12:43:48
Безусловно хорошо, если это есть, не уверен, однако, что это должно быть обязательным условием - что, если речь идет об узкоспециализированом ПО, не входящем в сферу первоочередных интересов сторонних компетентных организаций, производитель которого по каким-либо причинам не желает, к примеру, публично предоставлять подобные подтверждения? Да и почему у суда должно быть больше доверия к заявлениям производителя (а уж тем паче реселлера) или сторонней специализированной организации, пусть даже очень уважаемой и компетентной - неужели сотрудники этих организаций (по сути в данном случае выступающие в роли тех же экспертов, но за рамками процессуальных норм) априори должны полагаться судом более профессиональными, квалифицированными, заслуживающими доверия, чем эксперт, приглашенный самим судом. Да, полагаю, что если подобные подтверждения существуют, ИМХО, эксперту достаточно сослаться на них в подтверждение своих выводов, но думаю было бы неправильно признавать это единственно правильным и возможным, заведомо исключая из рассмотрения, например, ошибки, обнаруженные в ходе исследования самим экспертом. Готов предположить, что было бы, возможно, целесообразным внести в нормативные документы требование, что в последнем сулучае, сообщение об обнаруженной ошибке обязательно должно быть отправлено экспертом в указанные вами компетентные организации и производителю. И в этом случае суд уже в рамках стандартной процедуры может по своему усмотрению запросить у них подтверждение, если сочтет это необходимым.
Целиком согласен. Если ошибку в ПО обнаружил эксперт в ходе проведения КТЭ, то доверия ему должно быть не меньше, чем производителю ПО. Даже больше.

В статье я имел в виду другое. Например, защита ссылается на возможное наличие ошибки в ПО, приводящей к некорректности логов. Если нет подтверждения существования такой ошибки от производителя или иной компетентной инстранции, то основанием для сомнения это не является. Несмотря на то, что ошибки в ПО бывают.


Название: Re:Статья: Доказательная сила логов
Отправлено: Dmitry от 07 Январь 2007, 12:58:47
Например, защита ссылается на возможное наличие ошибки в ПО, приводящей к некорректности логов. Если нет подтверждения существования такой ошибки от производителя или иной компетентной инстранции, то основанием для сомнения это не является. Несмотря на то, что ошибки в ПО бывают.
+1

Продолжу придираться к буковкам.

Цитировать
наличие и рабочее состояние программы, генерирующей и программы, обрабатывающей логи
категорически не нравится- что-то не то с запятыми, да и стилистически

Честно говоря, будучи москвичем, не очень люблю проявления столичного снобизма, пуст даже с изрядным оттенком шутливости, посему предложенная терминология в классификации методов изъятия вызывает некоторое внутреннее отторжение. Пороки упрощенных подходов и, следовательно, границы применимости и само право на существование их комментировать не буду, ибо большинство из них достаточно очевидны.

Цитировать
Не могут являться доказательством логи (их копии, распечатки, акты осмотра), полученные заинтересованной стороной.
А существуют ли в рамках российского законодательства (за исключением уголовного) возможности и практика их применения, обеспечивающая выполнение данного условия, скажем, в рамках гражданского процесса.


Название: Re:Статья: Доказательная сила логов
Отправлено: gur от 07 Январь 2007, 23:51:43
Уважаемые коллеги! :D
Вы затронули очень интересные мне вопросы, связанные с возможностью использования лог файлов в качестве доказательств.
Относительно заинтересованной стороны: в уголовном процессе вообще не может быть заинтересованной стороны по определению. Все доказательства по делу собирает лицо, ведущее расследование уголовного дела. Данное лицо заинтересовано только лишь в расследовании уг. дела (по закону по крайней мере). При абсолютно правильном изъятии логов как с технической стороны так и с юридической стороны, вопросов относительно подлинности и достоверности вообще не должно возникнуть! Правильный порядок изъятия лог-файлов  полностью описан в статье Собецкого (за что ему огромное спасибо!). Кстати, при заявлении ходатайств следователю по изъятию лог-файлов и обжаловании его бездействий в случае невыполнения моих милых просьб, я полностью руководствовалась этой статьёй. Вышестоящая инстанция меня полностью поддержала и передала это дело другому.
Поэтому полностью не согласна с ННФ относительно того, что статья Собецкого не вносит ясности в вопрос, в каких случаях логи должны иметь доказательную силу, а в каких – не должны.
А вот:
Цитировать
Доказательность обеспечивается следующей цепочкой элементов: … и т.д.
не вносит не какой ясности, так как для технически грамотного специалиста написана вполне понятно, а вот для обычного юриста вообще не понятна. Для кого вообще написана статья? ::)
Я, для того чтобы объяснить следователю, прокурору, что такое логи и с чем их едят, использовала абсолютно простой язык без упоминания заумных слов типа: неизменность при передаче записей от генерирующей программы к логирующей программе. Ну кто это поймёт? Эксперт возможно, а как насчёт всех остальных участников процесса? И если статья написана для экспертов, то слова «Доказательственная сила» в названии необходимо убрать. ;)
Цитировать
В протоколе осмотра должны быть указаны сведения, относящиеся как к корректности, так и к полноте осмотра. То есть, желательно описать все возможные места хранения логов, привести настройки программ, отвечающих за их хранение, осмотреть и приложить к протоколу в бумажном виде наиболее существенные записи, а все прочие логи, программы, настройки в полном объёме скопировать на диск и приложить к протоколу.
Как следователь либо специалист определит наиболее существенные записи??? И для чего необходимо привести настройки программ?
Цитировать
Все действия с компьютерной информацией проводятся при посредстве разнообразных технических средств.
Весьма некорректное предложение, например, «при посредстве разнообразных технических средств».  
Относительно понятых вообще очень интересный вопрос. Понятых для «обычных» следственных действий найти очень трудно, а тем более технически грамотных. Тем более ННФ в статье прямо указал о том, что необходимо указать на их грамотность. А кто и как будет проверять уровень компьютерной грамотности понятых?
Было бы хорошо в штате гос. учреждения держать таких специалистов. Но с другой стороны понятой  - это абсолютно независимое лицо.
Заключение в статье абсолютно противоречивое и с ним  полностью не согласна:
с одной стороны логи не могут являться доказательствами, а с другой стороны «не могут являться доказательством логи … и т.д. Полное противоречие!!!  :o
И если следовать логике: Сами по себе логи никакой доказательной силы не имеют. Доказательствами по делу служат "производные" от логов материалы:
•   протокол осмотра,
•   заключение эксперта,
•   заключение специалиста,
•   показания свидетелей, понятых, эксперта и специалиста касательно осмотра и интерпретации логов.
То: вещ.доки, аудио и видео записи у нас тоже не являются доказательствами! А может вообще в таком случае сведём все доказательства только к письменным?  :)
А существуют ли в рамках российского законодательства (за исключением уголовного) возможности и практика их применения, обеспечивающая выполнение данного условия, скажем, в рамках гражданского процесса.
Вот относительно гражданского процесса здесь конечно вопрос интересный. Что касается документов, подписанных ЭЦП вопросов не возникает. А вот использование логов в качестве доказательств считаю перспективной задачей (и вполне реальной!). Необходимо грамотно обосновать приобщение к делу логов и исследование их в процессе. Большая проблема в законе (ГПК, АПК) связана с тем, что ЭД не является самостоятельным видом доказательств. Поэтому на практике возникают проблемы, связанные с легализацией ЭД в судебном процессе.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 08 Январь 2007, 01:49:06
Эксперт возможно, а как насчёт всех остальных участников процесса? И если статья написана для экспертов, то слова «Доказательственная сила» в названии необходимо убрать. ;)

"Тот ученый считается настоящим который может объяснить суть своего открытия даже обычной кухарке."
Резерфорд


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 08 Январь 2007, 02:00:32
Цитировать
А может вообще в таком случае сведём все доказательства только к письменным?
Лучше к показаниям свидетелей. А еще лучше только к показаниям правоохранителей. Бомба неравенства, заложенная Гракхами, взорвалась не оставив от Рима, как республики, камня на камне. Нас ожидает таже участь, только в гораздо более короткие сроки. Звоночки, вроде lex Licinia Mucia, уже вовсю звенят: сайты стали арестовывать, в вину стали вменять соблюдение авторских и смежных прав...
Цитировать
Сами по себе логи никакой доказательной силы не имеют. Доказательствами по делу служат "производные" от логов материалы
Глубочайшее заблуждение. Производные документы являются доказательствами чего? Сначала дайте ответ на этот вопрос, потом читайте дальше.

Именно логи являются вещественным доказательством совершения виновным лицом виновных действий.


Название: Re:Статья: Доказательная сила логов
Отправлено: gur от 08 Январь 2007, 14:05:14
"Тот ученый считается настоящим который может объяснить суть своего открытия даже обычной кухарке."
Резерфорд
Достойный пример: статья нашего Юрикса RUSSIAN FIREWALL написана настолько простым и доступным языком, что её поймёт даже ребёнок.
А вышеуказанную статью Собецкого понял даже прокурор, вообще неразбирающийся в компьютерах! ;) :D


Название: Re:Статья: Доказательная сила логов
Отправлено: gur от 08 Январь 2007, 14:08:56
Именно логи являются вещественным доказательством совершения виновным лицом виновных действий.
Да, именно так и есть.  :D Логи являются вещ.доками, содержащими следы преступления.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 08 Январь 2007, 15:25:31
Честно говоря, в статье много спорных моментов.
к тому что писал ранее:
Цитировать
сведения о защищённости системы, её проверке на наличие вредоносных программ;
Прикололи. Долго смеялся. Николай Николаевич, Вы какой-то конкретный антивирус имеете в виду?


Цитировать
Степень строгости и подробности зависит от возможностей следствия и от судебной практики. Автор предлагает три варианта, отличающиеся подробностью и строгостью доказывания – нестрогий, промежуточный и строгий. Назовём их соответственно...
Надо бы указать, что тем не менее, все три варианта должны выполнять требования УПК, а именно не уничтожать и не  изменять  свойств исследуемых (осматриваемых) объектов (в нашем случае данных находящихся на накопителях информации). А , следовательно, при  осмотрах  необходимо использовать либо аппаратные / программные блокираторы записи, либо монтировать исследуемые/осматриваемые носителе в режиме "read only".

Из статьи не совсем понятно, сервера в каком состоянии, с целью изъятия логов,  предлагает осматривать автор: работающие или выключенные. Согласитесь, подходы к осмотру работающего (функционирующего ) сервера и выключенного сервера - различны.

Urix
Цитировать
Николай Николаевич! Я один умный вещь скажу, только ты не обижайся. ...
Чем дольше статью читаю, тем больше с Urix  соглашаюсь.


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 08 Январь 2007, 16:35:01
Цитировать
сведения о защищённости системы, её проверке на наличие вредоносных программ;
Прикололи. Долго смеялся. Николай Николаевич, Вы какой-то конкретный антивирус имеете в виду?
Настаиваю, что сведения о защищённости в протоколе осмотра указывать надо. Например: "На компьютере установлена ОС такая-то с такими-то обновлениями. Установлен такой-то антивирус с такой-то датой последнего обновления базы сигнатур."

А вы при осмотре и экспертизе наличие патчей и антивирусов в протоколе не отражаете?


Надо бы указать, что тем не менее, все три варианта должны выполнять требования УПК, а именно не уничтожать и не  изменять  свойств исследуемых (осматриваемых) объектов (в нашем случае данных находящихся на накопителях информации).
Вы таки будете смеяться, но в УПК нет требования о неизменении свойств осматриваемых объектов. Ещё раз перечитал главу 24 - нет таких требований.

Что же касается экспертизы, то изменение или уничтожение исследуемых объектов прямо дозволяется УПК. Правда, с разрешения следователя или суда.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 08 Январь 2007, 17:08:58
Настаиваю, что сведения о защищённости в протоколе осмотра указывать надо. Например: "На компьютере установлена ОС такая-то с такими-то обновлениями. Установлен такой-то антивирус с такой-то датой последнего обновления базы сигнатур."
Если на исследуемом компе стоит такая популярная у хакеров ОС как  ...BSD,  это вовсе не означает, что компьютер круто защищен. Может она "криво" настроена. ;) Ну и .т.д.

А патч мог был быть установлен уже после взлома. ;) Тогда, специалист  своими действиями, а именно описав в протоколе осмотра, что система на момент осмотра имела такой-то патч    (который защищает от атаки в результате которой компьютер был взломан) более запутает следствие чем окажет помощь в расследовании.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 08 Январь 2007, 17:24:18
А вы при осмотре и экспертизе наличие патчей и антивирусов в протоколе не отражаете?
Мне не известно программное обеспечение позволяющее однозначно идентифицировать кодовые последовательности и базы всех антивирусов всех софтверных компаний со всеми их временными вариациями.

Хотя, Вы пошли дальше наших западных коллег (предлагая указывать какой антивирус стоит на исследуемом накопителе, какой версии, когда последний раз были обновлены его базы).  Они (западные коллеги) , перед проведением исследования, только проверяют представленные накопители антивирусом установленным на стендовой ПЭВМ.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 08 Январь 2007, 18:08:11
Цитировать
А патч мог был быть установлен уже после взлома.
Логи могли быть фальсифицированы кем угодно: и самим терпилой, и экспертом и т.д. Поэтому ссылка на логи при условии, что не были предусмотрены меры защиты логов от подделки (фальсификации), использовать их в качестве доказательств нельзя. Приведу уже описанный мной много ранее пример судебного эксперимента, основанный на операции модификации данных, который надо предлагать провести в суде присяжных:

Имеется компьютер на котором есть система регистрации логов. Просим эксперта осмотреть (без копирования логов) компьютер и дать свое заключение о правомерности использования логов в качестве доказательства. Просим присяжных удалиться в совещательную комнату, взяв с собой этот компьютер, просим кому-то из присяжных открыть двоичным редактором этот файл и изменить только одну цифирьку в каком-то IP-адресе. После этого, храня тайну совещательной комнаты, просим эксперта в присутствии присяжных сказать производилась ли модификация лог-файла и если да, то что именно было изменено. Вердикт присяжных будет однозначным - лог-файл доказательством не является, а экспертиза была заведомо недобросовестной.


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 08 Январь 2007, 19:29:28
А патч мог был быть установлен уже после взлома. ;) Тогда, специалист  своими действиями, а именно описав в протоколе осмотра, что система на момент осмотра имела такой-то патч    (который защищает от атаки в результате которой компьютер был взломан) более запутает следствие чем окажет помощь в расследовании.
Неубедительно. Нелогично. Патч, конечно, мог быть установлен после взлома. Но это не причина опускать его наличие в протоколе осмотра. Когда именно патч был установлен, защитил бы он от взлома или нет - это вопросы для последующей экспертизы. А при осмотре отразить наличие патчей и антивирусов полезно.

Во время осмотра места происшествия ведь отражают в протоколе наличие и состояние замков. Хотя замок мог быть заперт уже после кражи.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 08 Январь 2007, 20:04:49
А при осмотре отразить наличие патчей и антивирусов полезно.
Ну так назовите нам ПО позволяющее однозначно идентифицировать кодовые последовательности и базы всех антивирусов всех софтверных компаний со всеми их временными вариациями. ;)

Если не можете назвать такое ПО - не морочте нам голову.  ;D


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 08 Январь 2007, 22:46:54
Цитировать
Ну так назовите нам ПО позволяющее однозначно идентифицировать кодовые последовательности и базы всех антивирусов всех софтверных компаний со всеми их временными вариациями.
Ну тогда надо сюда же еще включить все вирусы, которые будут написаны в ближайшем будущем. Сказать точно чем вызвано такое странное поведение логов можно только имея полную картину. Например, столкнулись с какой-то странной записью в лог-файле, которую, как выяснится через полгода, оставляет вирус, который будет написан через два месяца, а ни один из известных вирусов таких изменений не делает.


Название: Re:Статья: Доказательная сила логов
Отправлено: Dmitry от 09 Январь 2007, 01:58:43
Неубедительно. Нелогично. <skip> Когда именно патч был установлен, защитил бы он от взлома или нет - это вопросы для последующей экспертизы.
Хотя я настроен к вашей статье гораздо менее критично, чем другие оппоненты, должен отметить, что при первых двух вариантах изъятия, задавать эти вопросы эксперту в подавляющем большинстве случаев, ИМХО, будет бесполезно - однозначного ответа на многие из возможных вопросов в результате анализа только зафиксированной в соответствии с этими рекомендациями информации дать будет практически невозможно. А дополнительной информации к этому моменту, увы, тоже, может статься, получить уже неоткуда...


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 09 Январь 2007, 23:26:58
Вы таки будете смеяться, но в УПК нет требования о неизменении свойств осматриваемых объектов.
Изъяли у подозреваемого муку, а посадили за хранение героина. И, получается, все в рамках закона?
  :(


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 10 Январь 2007, 01:23:23
Вы таки будете смеяться, но в УПК нет требования о неизменении свойств осматриваемых объектов.
Изъяли у подозреваемого муку, а посадили за хранение героина. И, получается, все в рамках закона?
  :(
Смайлики смайликами, но по существу-то что скажете? Вправе эксперт изменять свойства исследуемого объекта? Не запрещает это УПК? Отстреливают эксперты исследуемые боеприпасы, тем самым приводя их в негодность? А логи чем хуже?


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 10 Январь 2007, 01:26:53
... должен отметить, что при первых двух вариантах изъятия, задавать эти вопросы эксперту в подавляющем большинстве случаев, ИМХО, будет бесполезно - однозначного ответа на многие из возможных вопросов в результате анализа только зафиксированной в соответствии с этими рекомендациями информации дать будет практически невозможно. А дополнительной информации к этому моменту, увы, тоже, может статься, получить уже неоткуда...
Ну, да. С этим не поспоришь. Но всё-таки. Вы тоже считаете, что в протоколе осмотра нельзя указывать сведения о патчах и антивирусах?


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 10 Январь 2007, 01:28:57
Цитировать
Вправе эксперт изменять свойства исследуемого объекта?
Ему такое право дает следователь или суд в своем постановлении.
Цитировать
Не запрещает это УПК?
Не разрешает делать это самодеятельно.
Цитировать
Вы тоже считаете, что в протоколе осмотра нельзя указывать сведения о патчах и антивирусах?
Указывайте что хотите. Проблема не в указывании, а в доказывании.


Название: Re:Статья: Доказательная сила логов
Отправлено: Dmitry от 10 Январь 2007, 02:29:18
Вы тоже считаете, что в протоколе осмотра нельзя указывать сведения о патчах и антивирусах?
Отнюдь, я просто полагаю, что в делах, где "компьютерные" доказательства являются основными и есть риск, что без них других доказательств преступления может оказаться недостаточно для того, чтобы убедить суд, право на существование имеет только последний из упомянутых вами способов изъятия.


Название: Re:Статья: Доказательная сила логов
Отправлено: CyberCop от 10 Январь 2007, 21:07:22
Отстреливают эксперты исследуемые боеприпасы, тем самым приводя их в негодность? А логи чем хуже?
    Да и вещества, похожие на наркотические, также расходуются в процессе проведения КЭМВИ с использованием хим.реактивов. Не так ли, Игорь?  ;)  Даже какая-то Справка установленного образца дополнительно с Заключением эксперта оформляется...  :D


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 10 Январь 2007, 22:58:16
Цитировать
я просто полагаю, что в делах, где "компьютерные" доказательства являются основными и есть риск, что без них других доказательств преступления может оказаться недостаточно для того, чтобы убедить суд, право на существование имеет только последний из упомянутых вами способов изъятия
Подумайте над предложенным мной судебным экспериментом на основе операции модификации информации и Вам станет ясно, что и этот способ изъятия тоже не годится в качестве способа сбора и фиксации объективных доказательств.
Цитировать
Да и вещества, похожие на наркотические, также расходуются в процессе проведения КЭМВИ с использованием хим.реактивов. Не так ли, Игорь?
Так-то так, да не так. Вы внимательно прочтите то, что Вы же написали - "вещества". С каких это пор информация является веществом, не напомните?


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 10 Январь 2007, 23:10:54
Не надо методы исследования мешать в одну кучу. В ходе проведения некоторых экспертиз, например экспертизы наркотических средств, действительно расходуется часть объекта исследования, но только потому, что других  методов исследования (не разрушающих) нет. В рассматриваемой ситуации методы исследования без разрушения информации существуют. А Вы предлагаете специалисту совершенно  не обоснованно уничтожать вещ.доки уже на стадии изъятия. Это не допустимо! Кроме того, изменение временных отметок, при проведении такого "осмотра", приведет к невозможности решения некоторых других вопросов связанных с исследованием ПЭВМ.
Тем более, как Вы сами отметили, разрешение на повреждение дает судья и следователь при назначении судебной экспертизы, а логи изымаются, я так понял из статьи,  в результате следственных действий или ОРМ. Или  между СД, ОРМ и судебной экспертизой мы ставим знак равенства?


Название: Re:Статья: Доказательная сила логов
Отправлено: Dmitry от 11 Январь 2007, 01:36:27
Игорь, мне кажется вы немного ограничиваете свой взгляд на проблему изъятия, одно дело, когда "компьютерные доказательства" являются основными и решающими в деле, тогда понятно, что специалист при изъятии на месте должен смотреть и трогать как можно меньше дабы не попортить, а копировать/изымать как можно полнее. Представьте, однако, что изъятие логов у провайдера преследует единственную цель - установить возможного подозреваемого и получить аргументы для обоснования обыска по месту жительства/работы. В общей канве дела именно эти материалы будут носить второстепенный характер, полномасштабной экспертизы по ним не планируется - ИМХО, в этом случае упрощенные методы, изложенные ННФ могут иметь право на существование.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 11 Январь 2007, 01:49:23
Цитировать
Или  между СД, ОРМ и судебной экспертизой мы ставим знак равенства?
А какая разница в результате чего были собраны доказательства? В результате ОРМ, СД или в судебном заседании? Я что-то не пойму. В УПК есть специальный раздел "доказательства и доказывание", специально посвященный этому вопросу. И там не делается различия в результате каких действий получены доказательства. Мало того, там даже не ограничен круг лиц имеющих право собирать доказательства. А вот окончательная оценка доказательств - это прерогатива суда. А поскольку судьи действуют только в рамках закона, то и надо всегда поверять качество собранных доказательств на предполагаемом суде с участием присяжных заседателей, которые действуют в соответствии со своей совестью. Сумела защита наглядно продемонстрировать присяжным, что собранным доказательствам нельзя верить из-за порочности метода сбора доказательств - дело выиграла, не сумела - проиграла. Состязательность называется.

И какие бы распрекрасные методики не писались, если есть порок в методе сбора доказательств - пользоваться этой методикой нельзя. Нет других способов сбора доказательств, не используй именно эти доказательства, а ищи другие. Не надо только "царицу доказательств" искать с помощью "слоников", "резиновых демократизаторов", дверей, пресс-папье и т.д.


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 11 Январь 2007, 11:09:20
Не надо методы исследования мешать в одну кучу. В ходе проведения некоторых экспертиз, например экспертизы наркотических средств, действительно расходуется часть объекта исследования, но только потому, что других  методов исследования (не разрушающих) нет.
Вы таки будете смеяться, но неразрушающие методы исследования или почти неразрушающие методы - они есть. Но не всегда по карману. Аналогично и с логами. Применяем те методы, которые можем себе позволить. Лучше хуже, чем никак.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 11 Январь 2007, 14:00:38
Цитировать
Вы таки будете смеяться, но неразрушающие методы исследования или почти неразрушающие методы - они есть.
Неразрушающие что - информацию или носитель?


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 11 Январь 2007, 14:57:54
... изменение временных отметок, при проведении такого "осмотра", приведет к невозможности решения некоторых других вопросов связанных с исследованием ПЭВМ.
Осмотр ведь проводится не сразу после совершения преступления. Между преступлением и осмотром может пройти день, два, три. Всё это время на компьютере что-то происходит, кто-то работает, читает и пишет файлы. Может быть, даже сисадмин осматривает те же логи, чтобы обнаружить преступление. Не хотите ли вы сказать, что все эти три дня непротоколируемых действий не "приведут к невозможности", зато получасовой осмотр специалистом (который, к тому же, протоколируется) "приведет к невозможности"?


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 11 Январь 2007, 18:35:32
Вы таки будете смеяться, но неразрушающие методы исследования или почти неразрушающие методы - они есть.
Может Вы будете настолько любезны, что назовете нам не разрушающий метод позволяющий определить, является ли вещество наркотиком (например, диацетилморфином) или нет, если масса исследуемого вещества не превышает десять в минус четвертой степени грамма?
Соответственно хотелось бы получить и ссылку на оборудование с помощью которого это возможно сделать ;)


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 11 Январь 2007, 22:27:56
Вы таки будете смеяться, но неразрушающие методы исследования или почти неразрушающие методы - они есть.
Может Вы будете настолько любезны, что назовете нам не разрушающий метод позволяющий определить, является ли вещество наркотиком (например, диацетилморфином) или нет, если масса исследуемого вещества не превышает десять в минус четвертой степени грамма?
Соответственно хотелось бы получить и ссылку на оборудование с помощью которого это возможно сделать ;)
ЯМР-спектрометр подойдёт? http://www.bruker.ru/
Только не говорите мне что он слишком дорогой. Я как раз об этом.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 11 Январь 2007, 22:29:35
Неа не пойдет :P И дело тут вовсе  не в цене.

Поясню:
1) атомы слишком легкие (по массе): кислород, водород, углерод. Это вам не сурьма, свинец, железо ;D
2)Криминалисты работают с мизерными количествами вещества, а для ЯМР надо вполне определенное граммовое количество и желательно в виде кристаллов. Много вы видели органических соединений в виде кристаллов?
http://www.catalysis.ru/catalog.php?action=show&id=148
Требования к образцам
Цитировать
Объем образца – от 2 до 10 см3 в зависимости от типа ядра.
Николай Николаевич, Вы внимательно прочитали то что я написал выше (там были заданы конкретные условия!)?
3)Вещества должны обладать вполне определенной степенью чистоты, что для криминалистики тоже не позволительная роскош.

Помните чем закончилась история с поставкой в ЭКП ДРОНов ?
 ;D

Дорогущие надо сказать получились подставки для чашек с  кофе.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 12 Январь 2007, 00:43:23
Цитировать
Дорогущие надо сказать получились подставки для чашек с  кофе.
Игорь! Надо быть оптимистом. Анекдот в тему:

Мужик жалуется сексопатологу - "Доктор, не стоит".
Доктор пессимист ответит - "И стоять уже не будет".
Доктор оптимист ответит  - "Но зато как висит!!!".

Зато какие получились подставки!!! ;) ;D


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 12 Январь 2007, 11:30:59
Неа не пойдет :P И дело тут вовсе  не в цене.
Поясню:
1) атомы слишком легкие (по массе): кислород, водород, углерод. Это вам не сурьма, свинец, железо ;D
2)Криминалисты работают с мизерными количествами вещества, а для ЯМР надо вполне определенное граммовое количество и желательно в виде кристаллов.
Ну тогда инфракрасная спектроскопия. Она, кажется, даже отдельные органические молекулы видит.
http://en.wikipedia.org/wiki/Infrared_spectroscopy


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 12 Январь 2007, 13:34:30
Цитировать
Ну тогда инфракрасная спектроскопия. Она, кажется, даже отдельные органические молекулы видит.
WikiPedia - это, конечно, истоник. Лучше тогда смотреть "CSI место преступления". Там такие захватывающие кадры есть! Когда, например, из участка изображения, размером 20Х20 пикселей получают четкую картинку с разрешением 640х480 пикселей. Из мало вдруг научились делать много вопреки законам сохранения вещества, энергии, информации...

Стоимость работ по синтезу ядер трансурановх элементов из "островка стабильности" такая, что подобные эксперименты человечество делает один-два раза в своей истории. Тоже самое можно сказать и о регистрации отдельной молекулы или даже группы молекул - внешний шум должен смазывать всю картину. Стоимость борьбы с шумом окружающей среды будет такая, что "подставки под кофе" просто отдыхают.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 12 Январь 2007, 21:44:08
Ну тогда инфракрасная спектроскопия.
;D
При исследовании методом ИК-спектроскопии, для изготовления образца, одну часть вещества перетирают со ста частями галогенида щелочного металла (как правило, для этого используют  калия бромид) или иногда используют  масло. Никто в здравом уме "выковыривать" молекулы исходного вещества из приготовленной смеси обратно  не будет. Так что, этот метод, можно считать разрушающим.

В целом, мы сильно отклонились от темы дискуссии. Ваша точка зрения: т.е. перенесение методов исследования материи на нематериальные объекты (информацию), скажем так, неординарна.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 12 Январь 2007, 21:56:36
Цитировать
Ваша точка зрения: т.е. перенесение методов исследования материи на нематериальные объекты (информацию), скажем так, неординарна.
Полностью согласен.


Название: Re:Статья: Доказательная сила логов
Отправлено: Dmitry от 13 Январь 2007, 01:26:50
В целом, мы сильно отклонились от темы дискуссии.
Согласен.
Ваша точка зрения: т.е. перенесение методов исследования материи на нематериальные объекты (информацию), скажем так, неординарна.
Не согласен. Не так уж это неординарно и не так уж эти методы невообразимо далеки. http://www.elsevier.com/wps/find/bookbibliographicinfo.cws_home/710529/description (http://www.elsevier.com/wps/find/bookbibliographicinfo.cws_home/710529/description)
Таки чем специалисту в поле, а пусть даже и в лаборатории, HDD image прикажем изготавливать? В микроскоп, однако, поболее материи/информации разглядим, чем в то, чего dd с компанией накопируют. ;)


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 13 Январь 2007, 08:25:18
Не так уж это неординарно и не так уж эти методы невообразимо далеки. http://www.elsevier.com/wps/find/bookbibliographicinfo.cws_home/710529/description (http://www.elsevier.com/wps/find/bookbibliographicinfo.cws_home/710529/description)
Таки чем специалисту в поле, а пусть даже и в лаборатории, HDD image прикажем изготавливать? В микроскоп, однако, поболее материи/информации разглядим, чем в то, чего dd с компанией накопируют.

Да, хотелось бы почитать эту книжку. Однако:
Цитировать
Price:
GBP 105
USD 185
EUR 150
:(


Другие  статейки по этой теме:
Методы визуализации магнитных полей носителей информации
http://www.epos.kiev.ua/pubs/visual.htm
Методы сканирующей зондовой микроскопии для исследования поверхностей накопителей информации и восстановления данных
http://www.epos.kiev.ua/pubs/spm.htm


Я вот о чем думаю, не пришло ли время вводить в УПК термин  "цифровое доказательство",возможно даже,  с указанием методов его изъятия, подтверждения подлинности и т.п.?


Название: Re:Статья: Доказательная сила логов
Отправлено: Николай Николаевич Федотов от 13 Январь 2007, 14:00:24
Я вот о чем думаю, не пришло ли время вводить в УПК термин  "цифровое доказательство",возможно даже,  с указанием методов его изъятия, подтверждения подлинности и т.п.?
С указанием методов никак невозможно. Методы хранения информации и соответствующие им методы экспертного исследования обновляются каждый год.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 14 Январь 2007, 11:40:51
Цитировать
Методы хранения информации и соответствующие им методы экспертного исследования обновляются каждый год.
Что уже свидетельствует о полном разброде и шатании в этом вопросе. Методика выявления стрихнина не меняется уже лет 50 как минимум. И полоний, "скормленный" Литвиненко в виде микродозы, был успешно выявлен именно методами анализа микроскопических доз вещества. И его следы тоже обнаруживались в гостиницах и аэропортах так же.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 14 Январь 2007, 13:58:38
Что уже свидетельствует о полном разброде и шатании в этом вопросе. Методика выявления стрихнина не меняется уже лет 50 как минимум.
С другой стороны, фирмы производящие стрихнин не выпускают каждые три года его новые версии.

И полоний, "скормленный" Литвиненко в виде микродозы, был успешно выявлен именно методами анализа микроскопических доз вещества. И его следы тоже обнаруживались в гостиницах и аэропортах так же.
В Европе уже не осталось ядерного оружия, научных центров занимающихся трансурановыми, свалок ядерных отходов и т.д.?
Антиресно то, как они, по следовым количествам, догадались что этот полоний имеет  "русский след"?


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 18 Январь 2007, 02:13:06
Цитировать
Антиресно то, как они, по следовым количествам, догадались что этот полоний имеет  "русский след"?
Очень просто - взяли на испуг. Человек, который был "в деле" сразу же побежал к врачам. Спасайте, мол. Этого только и ждали. А микродозы якобы обнаруживались только там, где были все подозреваемые. Напрмер, в самолетах во Внуково. Один даже несколько дней стоял, но следов там так и не нашли - итальянец уже был в больнице. Тем, кто не "в деле" бояться облучения нечего - они никуда и не побежали. Известный метод. Подловили ентих ребят как тех мальцов. Реально полоний был обнаружен у Литвиненко и с довольно высокой долей вероятности его следы были в кафе и в других местах, которые посещал зараженный.
Цитировать
С другой стороны, фирмы производящие стрихнин не выпускают каждые три года его новые версии.
Если Вы имеете в виду изменения кода, то код - это форма, а содержание меняется мало. Это примерно как проводить анализ не на сам стрихнин, а на упаковку, в которой он был выпущен.


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 18 Январь 2007, 05:19:19
Реально полоний был обнаружен у Литвиненко и с довольно высокой долей вероятности его следы были в кафе и в других местах, которые посещал зараженный.
А  в самолетах, на которых он летал, ничего не обнаружили. Как так?  ???


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 18 Январь 2007, 08:56:24
Цитировать
А  в самолетах, на которых он летал, ничего не обнаружили. Как так?
Это-то и служит доказательством того, что аглицкие парни брали "на испуг". Неужели не понятно? ;)
Еще у Конан Дойля была описана подобная ситуация - имитация пожара и Ирэн Адлер сама показала, где она хранит письма. Похоже, что аглицкие профи опять переиграли любителей. С моей точки зрения Российским спецам убивать Литвиненко не было никакого мысла: он, как и Калугин, уже "выпал из обоймы" и не мог нанести вреда в будущем. Выигрыш копеечный, а в случае раскрытия все будут в дерьме по самые уши. Это акция направленная на затруднение работы Российских спецов в будущем - кто же будет с ними работать, если те уничтожают "выпавших из обоймы"? Если это действительно наши спецы, то тогда там такие, что упаси Бог иметь с ними дело. Получается, что спецы глупее тех же ментов - даже на один ход вперед не видят. В общем, у меня есть сомнения по поводу участия Российских спецов. Тем более, что именно италик сразу же побежал в больничку. И Степашин подтвердил, что Литвиненко не владел серьезной информацией. Да и среди других перебежчиков, которые действительно "насрали в душу" и сдали агентуру, в общем-то, пока еще не было никакой "эпидемии".


Название: Re:Статья: Доказательная сила логов
Отправлено: Igor Michailov от 19 Январь 2007, 12:31:36
Это-то и служит доказательством того, что аглицкие парни брали "на испуг". Неужели не понятно? ;)
Я бы говорил о том, что часть так называемых доказательств просто подбросили чтобы сфабриковать "нужное" дело.


Название: Re:Статья: Доказательная сила логов
Отправлено: Urix от 19 Январь 2007, 14:14:33
Цитировать
Я бы говорил о том, что часть так называемых доказательств просто подбросили чтобы сфабриковать "нужное" дело.
Вполне допускаю. Однако это надо еще доказывать. Т.е., получается уже двухходовка. А одноходовка просматривается, в общем-то, сразу, стоит только посмотреть пошире.

Хороший пример рассмотрели. Кстати, его очень даже можно использовать для получения доказательств, когда прямые доказательства по логам сделать трудно или даже практически невозможно. Так что, рассматривать логи отдельно от остального процесса доказывания я бы не стал. Логи надо рассматривать в комплексе. Единственное чего не надо делать - это вольно истолковывать логи. Они служат основой. А здесь без учета физики процессов не обойтись, иначе можно получить все что угодно.