Форум ''Интернет и Право''

Всем доброго дня. У меня такая проблема - в процессе обучения возникла необходимость написания небольшой работы, тема - "Доказательства в делах, связанных с компьютерными преступлениями", ну, или что-то около того. Что-то в и-нете никак не могу найти информация непосредственно о таких делах. Есть много приговоров, решений суда, но проблема в том, что в них мало что говориться о тех доказательствах, которые были приведены в суде. Так вот в чём, собственно, вопрос - может кто-нибудь помочь с поиском такой информации? Там, ссылочки или может лично кто-нить кинет? Заранее всем, кто поможет, ну или даже просто захочет, но не сможет, огромное спасибо!

Читаем внимательно УК и не находим там никаких "компьютерных преступлений"  ;)
Может из-за этого и проблемы? Надо-б сначала тему корректно сформулировать.

Согласен
все что я читал на эту тему

делилось на две категории:
1. Совершил преступление и признал свою вину. Получил наказание.
2. Совершил преступление и дело закрыто за отсуствием состава.

И в том и другом случае доказательства особо не были нужны.

А вот чтобы, не признал свою вину, такого я еще не видел.
Или плохо искал.

Конечно простите нас деревенских, но я не понимаю чем таким особым отличаются доказательства по "компьютерным преступлениям" от традиционных  доказательств.

ИМХО следы рук обнаруженные на нужном объекте в нужное время и в нужном месте дорогого стоят.  ;)

Кстати, по форуму если поискать много чего можно найти. Вот например:
Статья: Доказательная сила логов
http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=2579;start=0

Прекрасная тема! Только не правильно сформулированная относительно комп. преступлений.  В своей диссертации я вообще ушла от такой формулировки и данные доказательства определила как электронные, т.е. представленные в электронном виде.
не там значит ищете ;)
лично могу кинуть инфу по докам. Есть хорошие книги по комп. преступлениям: Вехова В.Б., Крылова, Мазурова, Батурина и др...
а ещё есть их монографии, ещё могу выделить пригодившееся мне в практике исследования Собецкого И.В. , например, "О доказательственном значении лог файлов".
а вообще Вы правильно сделали, что обратились на этот форум, по этой тематике здесь очень хорошие специалисты, которые дали мне очень много ;) :D

В зарубежной практике используется термин - "цифровые доказательства".  ;)

В данном случае имелись в виду преступления, предусмотренные главой 28 УК «Преступления в сфере компьютерной информации», а «компьютерные преступления» это всего лишь термин.

ИМХО не правильный этот термин.

Как можно написать "правильную" работу используя "не правильную" терминологию мне не понятно.
 :(

На мой взгляд в том-то и проблема, что где пальчики-то искать? На клавиатуре? :-) Тут другие подходы надо искать, те же самые логи – в каких случаях суд может принять/не принять их как доказательства? Статейку прочитаю, спасибо. Наверно надо бы ещё СОРМ посмотреть… кто и как его в праве применять.

Был бы весьма признателен.
Спасибо, обязательно посмотрю!

Дык чего-ж проще-то закон федеральный соответствующий имеется. Там кажись все и прописано.  ;)

А доказательства (я б обозвал их как и София Александровна - электронные) известно где искать - на компьютере и других носителях изъятых у подозреваемых.

По практике скажу, что каждый случай индивидуален.

Ну вот например, нехорошие люди подделывали документы (не будем уточнять какие ;) ). И все они сделали правильно, файлики с графическими изображениями документов поудаляли намертво и приняли другие меры к тому чтобы на их компьютере ничего не нашли. Однако, есть в Windows такие файлы Thumbs.db которые содержат миниатюры изображений (чтобы Windows каждый раз   не создавала по новой миниатюры графических файлов находящихся в определенной папке при отображении их в Проводнике). Вот эти-то файлики забыли нехорошие люди удалить и на беду документы у нехороших людей были очень специфичны (даже найденных миниатюр  хватило с лихвой чтобы усомниться в кристальной честности-не виновности  подозреваемых).

Материал по приведенному примеру на английском (как это надо находить-исследовать): http://www.accessdata.com/media/en_US/print/papers/wp.Thumbs_DB_Files.en_us.pdf

Однако, смею заметить, что данный термин довольно часто встречается у многих авторов. Хотя, конечно, этот вопрос неоднозначный.

P.S. Не подскажите, как сразу ответить на несколько сообщений разных авторов? А то что-то немножко нафлудил… :-(

Цитаты надо ставить в скобки
[quоte]Цитата[/quоte]

Ну, я думаю, этим не должно ограничиться, т.к. не всегда  всё замыкается на компьютер, c которого совершается деяние. При том же самом взломе могут сохраняться следы и на атакуемой системе.  

Вот практика меня как раз и интересуют! :-)

За пример – спасибо, обязательно подробней гляну!

А чем, по вашему мнению, пальчики так сильно отличаются от логов?
На атакуемой системе остаются следы атаки, т.е. действий по получению несанкционированного доступа неустановленным лицом. А доказательства того кто именно эти действия совершал Вы где будете искать?
Практика практике рознь. Проанализировали мы тут несколько практических случаев. Например, "Экспертиза ПО на контрафактность". Или "Новости компьютерных преступлений. Да и в других темах тоже много интересного найдете.

ИМХО, как минимум тем, что логи можно удалять (хотя пальчики тоже можно стереть, но с логами сложнее) и, что ещё хуже, попытаться модифицировать.
Конечно, основной источник доказательств – это жёсткий диск подозреваемого. А если он его просто отформатировал? Да ещё и сверху пару раз, для пущей надёжности, чего-нибудь записал? Вообще, я имел ввиду, например, оставшийся в логах IP или MAC адреса, если взломщик не использовал анонимный proxy-сервер, или ещё что-нибудь в этом духе.
Спасибо, обязательно посмотрю!

Логи, как и пальчики - это информация, которая зафиксирована на долговременном носителе. Все остальное о чем Вы говорите - следствие метода кодирования и свойств носителей.

Логи от пальчиков отличаются по своему процессуальному статусу!
Если отпечатки пальцев мы относим к вещественным доказательствам, то логи мы можем отнести и к вещественным и к письменным, а можем и вообще не признать в качестве доказательств (на усмотрение суда!).  Вот в этом и основная проблема этого вида доказательств - у суда есть большая свобода вообще их не принимать в качестве доказательств, а у ушлых адвокатов исключать из всех доказательств по формальным признакам. Поэтому необходимо во всех процессуальных кодексах закрепить в виде отдельных средств доказывания электронные доказательства по аналогии с письменными и вещественными. В отдельном постановлении ПЛ ВС обобщить всю практику по этим доказательствам и закрепить порядок и правила собирания.

Данный способ не ликвидирует полностью данные жесткого диска. Существует огромное количество ПО и аппаратных средств для восстановления данных жесткого диска. Даже если преступник физически повредил жесткий диск, есть возможность восстановить абсолютно всю инфу на нём! ;)

Абсолютное заблуждение. Инфу в современных системах хранения восстановить сейчас практически невозможно. Возможно восстановить отрывки байтиков и буковок. Но что они будут на 100% верные никто не гарантирует.

Это вам не ДНК, где из одной клетки, можно вырастить человека.

Мы восстанавливали до 99% информации по отформатированному и поврежденному диску! Всё возможно и реально! Всё зависит от $ и квалификации эксперта. А если вообще много $, то можно и к разработчику обратиться.  ;)

А у нас летели сервера 3 раза за 5 лет.
И во всех случаях отдавали образы с дисков и сами диски во все
крупнейшие организации Москвы, которые занимаются восстановлением.
И денег не жалели.

Но результат - 50% данных восстановлено. Но это каша из информации. Ни одного целого файла.

На серверах были графические файлы.

Значит конфигурации серверов были неверные.

ИМХО, если никакие специальные меры не предпринимались (типа стократной перезаписи нулями) и удалось получить образ поврежденного накопителя , восстановить графические файлы - это задача для первого класса (хотя, конечно , везде есть свои нюансы).

В результате мы получили от каждого восстановляльщика по несколько вариантов восстановления.
Но реально, кроме названия файлов, сами файлы были все битые нулевые.
Либо полосатые (это кассаемо фото).

Не думаю, что задачка для первого класса была. Раз все крупнейшие организации оббегали.

Может потому что у нас рейд масив полетел? с обычным хардом может по другому было бы.

А че RAID  лепят из каких-то особенных хардов?  ;)  ;D

а мне интересно что это за компании... дайте реквизиты в привате, никогда не буду к ним обращаться ;)
А если захотеть, то из всего можно конфетку сделать ;) Как говорится: "Красивые девушки только для тех мужчин, у которых нет воображения " ;D

Смею себе заметить, что очень важно то, что логи весьма специфичный вид информации. В суде крайне важна достоверность доказательств, а вот с логами, в этом случае, большая проблема. И в этом плане, я разделяю точку зрения Софии Александровны. Как минимум надо создать стандартную процедуру логирования (например, аттестовывать ПО, при использовании которого будут логи приниматься в качестве доказательств) и процедуру сбора этой информации с ЭВМ.

А вот здесь, смею не согласиться. Даже в системах, работающих с гос. тайной, достаточно 2х кратного затирания (проще говоря - произвести 2а цикла записи/удаления нулей, или случайных символов, на место физического расположения удалённого файла). Думаю, здесь нет сомнений, что наши спец.службы некомпетентны в данном вопросе. Можно конечно распространиться насчёт физических процессов восстановления, но думаю это будет лишним. Хотя при однократной записи поверх данных - действительно можно попытаться восстановить данные, но не факт что получиться

Получится! Я знаю таких высококвалифицированных экспертов! И как это ни странно в ЛСЭ при МВД. Могу на конкретном примере доказать - что было - и что восстановили (при том 2 ЛСЭ - абсолютно разные результаты - одна как вы говорите вообще ничего не дала, а другая 99% информации). Просто они это особо  не афишируют, так как не занимаются коммерческой деятельностью по восстановлению данных. Тоже касается и спец. служб.  ;)

Со "стандартной процедурой", боюсь, ничего не получится. Производители ПО не заинтересованы следовать стандартам, установленным какими-то тупыми прокурорами какой-то далёкой России. А в развитых странах подобных требований к логам не предъявляют. И, кстати, правильно делают.

Есть и обратная сторона. Корректность и неизменность логов зависит не только от логирующей программы и процедуры съёма информации. Но и от кучи иных факторов. Может получиться так, что средство сертифицированное, процедура соблюдена, а логи-то - ошибочные.

Я не имею в виду тотальную сертификацию всего ПО и обязательную установку на все ЭВМ, а только добровольную, так же, как и с сертификацией средств защиты информации.

Например? Мне просто интересно, отчего ещё это может зависеть? (может быть я не знаю - потому что не гуру программирования?)

В смысле? Предоставить НЖМД и восстановленную с него информацию? Или как?

Вы читали указанную мной статью http://www.itsecurity.ru/press/technology/p03_1.htm?
По моему, автор, достаточно детально отразил все моменты  этого вопроса.  я считаю правильным мнение о том, что если порядок выемки/ изъятия лог файлов был соблюдён, то приобщение лог файлов в качестве доказательств, как правило, обжаловать не удаётся. Вот только на практике я столкнулась ещё с одним моментом – следователи, прокуроры зачастую не знают, либо не хотят знать порядок проведения следственных действий по изъятию лог-файлов. Помимо заявления ходатайства относительно выемки лог-файлов мне приходится разъяснять эту процедуру.  Много возражений со стороны следователей было относительно компетентных понятых, так как «обычных» иногда трудно найти, а тем более «грамотных». Но есть правовой механизм, который содержится в УПК и в некоторых локальных актах Ген. прокуратуры и МВД, позволяющий это сделать. Правда, во многих случаях – это довольно долго, муторно и тяжело. Но что делать? Приходится как-то бороться с некомпетентностью сотрудников. Именно квалифицированные сотрудники ПО и привлечение специалистов, СМИ позволяют эффективно бороться со всеми правонарушениями в сети Интернет. И не надо придумывать новоё Интернет законодательство. В этом вопросе я также согласна с Собецким И.В. – «В действительности практически все вопросы взаимоотношений между пользователями компьютерных сетей и телекоммуникационными компаниями могут быть решены в рамках традиционного гражданского, административного и даже уголовного права». Только процессуальное право надо усовершенствовать на основе судебной практики РФ и других стран.  ;)
НЖМД конечно не смогу, сами понимаете почему, а вот противоположными результатами КТЭ - да, правда без конкретики (Ф.И.О. эксперта, данные ЛСЭ, № уг. дела и др.).

Как сказал на одном из форумов  los2:
"Докажешь свои утверждения на практике?К пример, я выложу образ дискеты или flash disk предварительно сделав один проход(программу которой будут удаляться данные укажу)а ты попробуешь восстановить в более-менее удобоваримом виде."
 ;) ;D

я ещё не волшебник, я только учусь ;)  :)
нет я не хочу быть гуру программирования ;) - я же всё-таки юрист, но разбираться в технических ньюансах обязана - поэтому и общаюсь с удовольствием с хакерами, кракерами, специалистами по информ. безопасности  ;) :D
как говорил Юрикс, хак может расследовать только хакер.

Да, статья довольно интересная. Осталось только найти примеры из судебной практики - и мне больше ничего, собственно, по логам, и не надо :-) Только вот первоисточник на другом сайте, но это не столь важно.
А, собственно, что входит в эти результаты?

И всё таки вопрос насчёт "кучи иных факторов" к Николаю Николаевичу Федотову - мне всё-таки хотелось бы узнать по подробней, т.к. не совсем понимаю, какие они, эти факторы? Хотя бы ссылочку на статью/книгу/форум и т.д.
Хакером можешь ты не быть, но знать как они это делают - обязан :-)

Например, логирующая программа работает совершенно корректно, имеет сертификат на НДВ. Добросовестно передаёт логи лог-серверу syslogd. Предположим, syslogd тоже имеет сертификат. Только вот между ними встроился руткит, который некоторые сообщения изымает.

Процедура изъятия тоже соблюдена - компьютер проверили новейшим антивирусом, в базе которого сигнатура этого руткита появится только через месяц, как это обычно бывает (впрочем, и в этом случае руткит не будет обнаружен, если только он активен в момент проверки).

Итог: программы имеют справки, процедура соблюдена, а логи-то - неверные.

Вот Вы к чему. Но это уже вопрос системы защиты информации. ИМХО

Нет, это вопрос сертификации и процедуры. Следует понимать, что наличие сертификата, как и соблюдение процедуры не гарантирует от ошибок. А всего лишь уменьшает вероятность их возникновения. Причём, не сильно уменьшает. Поэтому логика "есть сертификат - принимаем логи, нет сертификата - не принимаем" является недопустимой.

На мой взгляд, этот вопрос всё-таки дискуссионный.

P.S. Кто-нибудь сталкивался при расследовании компьютерных преступлений с тем, что после узъятия у подозреваемого НЖМД он оказывался зашифрованным? Если да, то как из этого положения выходили? И какие алгоритмы (программы) использовались для шифрования в данном случае?

Представили диск. Диск оказался зашифрован супер-пупер прогой. Созвонились со следователем и объяснили ему что он может сделать со своим УД если он не вытянет из подозреваемого пароль. Через два дня пароль был следователем представлен.

И вообще. Вы первоисточники читать не пробовали?

http://foto.radikal.ru/f.aspx?i=6ab7e927a7014b1aad5bda9a55da07b9

Кажись Николай Николаевич пару-тройку статей по теме ветки собирался публиковать. Только вот закончил ли он свои работы и согласится ли тут опубликовать их копии - это надо с ним говорить.

А насчёт более гуманных методов?
Если честно - на прочтение к.-л. серьёзных изданий времени категорически не хватает. Да и здесь всё-таки, практически, живое общение.
Было бы очень интересно.

Один мой знакомый вытягивал пароль ко криптодиску очень гуманным методом.

Подозреваемому сообщалось, что преодолеть сильную криптографию может только суперкомпьютер ФАПСИ. Указанное ведомство производит такую экспертизу, но выставляет счёт на громадную сумму. Каковой счёт включается в судебные издержки. Поскольку в случае оправдательного приговора издержки, согласно УПК, должны оплачиваться Минъюстом, обвинительный приговор ему в таком раскладе гарантирован на 200 процентов. Независимо от результатов экспертизы. Поэтому лучше сказать пароль добровольно и спокойно получить свой год условно и тыщу рублей в пользу потерпевшего.

Вообще в этом деле многое зависит от оперативников и их лени. Если опер не ленивый он все эти пароли еще до возбуждения УД получит. Причем легальными и гуманными методами.

Спасибо. Значит всё, в основном, решается организационными методами, а не техническими. Значит либо нет возможности, либо не хотят об этом говорить во всеуслышание...
Ещё раз спасибо.

Зачем придумывать что-то сложное, когда проще использовать нечто более простое? Гениталии дверями прищемил пару раз и все пароли на бумаге. ;)

Тоже верно :-)

У меня вот возник один вопрос - просматривая материалы дел, наткулся на такую странную вещь - вредоностность той или иной программы, определяется тем, обнаружил ли её Анитивирус Касперского! Неужили на практике этим и ограничивается?  :(

Интересно было бы узнать, материалы каких дел?  ::)
Оперативного учета, Уголовных или Судебных???  ;)

Если серьезно: Можно назвать конкретно дело, его номер, у кого и когда находилось в производстве?  ???

    На практике детектирование программы для ЭВМ и других компьютерных устройств с помощью антивирусного программного средства является одним из методов ее ЭКСПРЕСС-АНАЛИЗА и не более того. Обнаруженная с его помощью программа направляется на судебную компьютерную или компьютерно-техническую экспертизу, которая проводится по соответствующей методике.
     После получения Заключения эксперта, его допроса по сущесту данного документа, сотрудником органа предварительного расследования делается вывод об отнесении конкретной программы к категории вредоносных или не вредоносных программ.  :D

Боюсь, я просто не правильно выразился - просматривая приговоры по делам, наткнулся...
А если антивирус не обнаружил ничего - тогда как? Значит ничего нету? :-)

Ясно. Значит не всё так хорошо, как могло быть...

Приговоры не отражают суть. Я пока еще не встречался с безукоризненно проведенным расследованием, а уж тем более с приговором. Как правило, все дела при доскональном изучении материалов дела, а особенно экспертизы, можно развалить несколькими способами. Иногда даже можно выбирать из чисто спортивного интереса способ. Ошибка, как правило, всегда одна - низкая, ниже вартерлинии, квалификация служителей Фемиды. Уж лучше бы они Мельпомене служили, что ли. Правда, за рампой всякая бездарь сразу видна. А Клио и Евтерпе служить дуракам тоже противопоказано. Пусть лучше служат Бахусу. Он не муза. ;)
Еще хуже. Ситуации, пущенные на самотек, имеют тенденцию развиваться от плохого к худшему, а не наоборот. А пущено все было на самотек давно...

Почему-же нет?  ???
     Есть внешние признаки работы вредоносной программы (сбой в работе ПО, компьютерного устройства, системы или сети). Именно с него, как правило, и начинается доследственная проверка материалов.
     Чтобы определиться с причиной сбоя приглашается специалист. Параллельно с его работой проводится комплекс оперативных и проверочных мероприятий по соответствующей методике.
     В итоге, делается вывод о наличии или отсутствии признаков преступления, связанного с вредоносными программами. Если признаки имеют место - возбуждается уголовное дело и начинается процесс предварительного следствия с допросами, экспертизами, а также другими следственными действиями, оперативно-розыскными и проверочными мероприятиями... :D

Теперь ясно. Спсибо за разъяснения :-)
Да, здесь Вы правы, действительно большая проблема.

«Сколько ни говори "халва", во рту слаще не станет»
 ;)

Конструктивные предложения есть?

Есть, конечно. Но Вы же не будете их исполнять? Не в Вашей власти...
Всем этим признакам прекрасно соответствует Windows от M$. Почему-то я пока ни одного УД в отношении виндозы пока не встречал. QUO LICENT JOVI, NO LICENT BOVI?

Гхм. Кажись правильнее писать так:
Quod licet Jovi, non licet bovi! ("Что дозволено Юпитеру, то не дозволено быку!")
 :)

Я, кстати, над этим тоже задумывался. Ведь и вправду - одна БОЛЬШАЯ вредоносная программа  ;D

Боюсь, что даже если бы и были, кто меня послушает? В этой облости много проблем, и решать их должны те, у кого есть реальная власть и заинтересованность в этом. А таких людей - единицы. ИМХО

ERARE HUMANUM EST. Пишу по памяти. Давно не смотрел написание латинизмов.Не один Вы над этим задумывались. Еще Тьюринг об этом думал задолго до создания Windows от M$.
Вот то-то и оно. И расцветает "ходячество" вместе с вымогательством...

А как по Вашему реальная власть будет решать эти проблемы, не зная о них? Надо участвовать во всех дискуссиях с представителями гос. органов и давать свои грамотные заключения и конструктивные предложения. У меня сложилось такое впечатление, что гос. органы существуют сами по себе, а общество само по себе и поэтому нет никакого взаимодействия. И кто виноват? Общество или государство?

Я как раз и пишу (по карайней мере пытаюсь написать) статью, что бы хоть что-то донести и до общества, и до государства (вернее до отдельных её представителей).
А зачастую оно так и есть. Власть ради власти и денег! А если это не будет выгодно власти - Вы хоть лоб об стенку разбейте, ничего не получиться. Таких примеров вагон и маленькая тележка.
Два извечных русских вопроса - кто виноват, и что делать...