Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: usoxthj от 30 Август 2007, 15:29:02



Название: Экспертные учреждения
Отправлено: usoxthj от 30 Август 2007, 15:29:02
Здравствуйте. Мне необходимо провести независимую компьютерную экспертизу (определить вредоносность программы).
Не подскажете, какие экспертные учреждения  этим занимаются. И сколько примерно это стоит. Заранее спасибо.


Название: Re:Экспертные учреждения
Отправлено: Igor Michailov от 30 Август 2007, 15:36:49
"При производстве судебной экспертизы эксперт независим..."

Ст.7 Федерального закона №73-ФЗ от 31 мая 2001 года "О государственной судебно-экспертной деятельности на территории Российской Федерации".


Провести, например, можно здесь:
Национальный центр по борьбе с преступлениями в сфере высоких технологий

Центральный офис:
Почтовый адрес: Россия, 410028, г. Саратов, ул. М. Горького, д. 18, ООО "Национальный центр по борьбе с преступлениями в сфере высоких технологий".
Электронная почта: info@nhtcu.ru
Телефон: (8452) 722-066, 766-071
Факс: (8452) 722-066, 721-622
Схема проезда

Представительство в Пензенской области:
Почтовый адрес: Россия, 440067, г. Пенза, ул. Светлая, д. 50, офис 199.
Телефон: (8412) 57-22-60

Цены более чем умеренные. В Москве аналогичную экспертизу провести в разы (если не в десятки раз) дороже.

И у них работают сотрудники, видеть которых в своих рядах была бы рада любая антивирусная компания ;)


Название: Re:Экспертные учреждения
Отправлено: Igor Michailov от 30 Август 2007, 15:42:47
РОССИЙСКИЙ ФЕДЕРАЛЬНЫЙ ЦЕНТР СУДЕБНОЙ ЭКСПЕРТИЗЫ при Минюсте России

Юридический адрес:       119034, Россия, Москва, Пречистенская набережная, д. 15
Телефон:   916-21-55
Факс:   916-26-29
Электронная почта:   info@sudexpert.ru
Web-сервер:   http://www.sudexpert.ru


Название: Re:Экспертные учреждения
Отправлено: Igor Michailov от 30 Август 2007, 15:48:33
И сколько примерно это стоит.

Как договоритесь. В Москве, естественно, дороже. Боюсь обмануть, кажется, прейскурант в Москве начинается от 1000$.


Название: Re:Экспертные учреждения
Отправлено: Николай Николаевич Федотов от 30 Август 2007, 16:02:54
Боюсь, что перечисленные государственные ЭУ страдают склонностью к... как бы поделикатнее выразиться... излишней криминализации. То есть, могут признать вредоносной программой программу двойного назначения, средство преодоления технических средств защиты АП, а то и вовсе безобидный сканер.

По большому счёту, в России два места, где водятся специалисты по вредоносным программам. Это "Лаборатория Касперского" и "Лаборатория Данилова" (которая DrWeb).

А стоит это ровно столько, сколько клиент готов заплатить. Я бы запросил за такую экспертизу от 30 тыщ.


Название: Re:Экспертные учреждения
Отправлено: Igor Michailov от 30 Август 2007, 16:05:24
Не уверен что у них есть соответствующие специалисты, но можно спросить и тут:

Бюро независимой экспертизы "Версия"

ООО "Бюро независимой экспертизы "Версия"
Адрес: 107076 г. Москва, ул. Матросская Тишина, д. 23, стр. 1.
Тел.: (495) 268-81-73, факс 787-33-23
Генеральный директор: Шаповалов Станислав Евгеньевич

Представительство в Санкт-Петербурге:
Почтовый адрес: 191023 Санкт-Петербург, Апраксин пер., д. 9.
Фактический адрес: Санкт-Петербург, ул. Гороховая, д. 42 (в арку).
Тел.: (812)713-43-18, 995-95-32, факс 310-07-54,
Заместитель генерального директора:
Литвиненко Максим Валерьевич

Ваши вопросы присылайте по адресу: info@versia.org


Название: Re:Экспертные учреждения
Отправлено: usoxthj от 30 Август 2007, 19:28:27
Спасибо, буду у них узнавать.
Цитировать
Боюсь, что перечисленные государственные ЭУ страдают склонностью к... как бы поделикатнее выразиться... излишней криминализации. То есть, могут признать вредоносной программой программу двойного назначения, средство преодоления технических средств защиты АП, а то и вовсе безобидный сканер.
У меня как раз такой случай. Эксперт признал вредоносной анализатор протоколов Ethereal http://ru.wikipedia.org/wiki/Ethereal


Название: Re:Экспертные учреждения
Отправлено: Николай Николаевич Федотов от 30 Август 2007, 21:23:34
Эксперт признал вредоносной анализатор протоколов Ethereal
:o Дайте две!

Немедленно! В студию! Фамилию и должность этого эксперта! Желательно также копию заключения.

Любой порядочный специалист из нашего неширокого круга не станет давать ложное или некомпетентное заключение именно потому, что закон не позволяет эксперту остаться анонимным. Заключение с лёгкостью становится достоянием гласности - и конец репутации.


Название: Re:Экспертные учреждения
Отправлено: Urix от 30 Август 2007, 21:29:02
Цитировать
Я бы запросил за такую экспертизу от 30 тыщ.
В уёвых единицах?
Цитировать
У меня как раз такой случай. Эксперт признал вредоносной анализатор протоколов Ethereal
Вы, ета, фамильЮ этого чудака на букву "М" называйте. А еще лучше сам текст здесь выложите.

Антон Геннадьевич! В связи с большим потоком заведомо ложных экспертиз нехило было бы это дело как-то оформить. Типа - фамилия эксперта, экспертное учреждение и ссылка на доки с рецензией. Может быть и отдельной темой, но чтобы туда писал только модер. Что-то вроде "Добро пожаловаться". Полезная штука будет, я так думаю. Страна должна знать своих героев, а также знать кто и где у нас порой...
Да для научных работников это будет кладезь. Не один диссер люди сваяют на этих материалах...


Название: Re:Экспертные учреждения
Отправлено: Антон Серго от 30 Август 2007, 21:47:27
Немедленно! В студию! Фамилию и должность этого эксперта! Желательно также копию заключения.
Копия приветствуется, фамилию - не надо.
Тут все жаждут знать героев, а за их ... репутацию мне отвечать. Обойдемся текстами.


Название: Re:Экспертные учреждения
Отправлено: Urix от 30 Август 2007, 21:53:19
Цитировать
Тут все жаждут знать героев, а за их ... репутация мне отвечать.
Ну не Вы же за него этот опоссус ваяли. Он это делал собственноручно. К Вам какие могут быть претензии? Каждый сам творец СВОЕГО счастья... И потом, за одного битого двух небитых дают... Иначе, соучастие в виде сокрытия называется... Опять же, суды у нас публичные, а Вы заявлений не подаете, т.к. не Вы терпила... Вот кому надо, тот пусть и подает... Опять же, другие эксперты посмотрев материалы не будут лажу писать... Обучение называется... Одни плюсы и соблюдение Закона...

Что касается Ethereal - программы наблюдения за сетевым трафиком. Так глядишь, скоро кто-то из "умников" и утилиту format.com объявит вредоносной. И тогда каждого владельца компа с установленной виндозой можно будет без суда и следствия...

Зато появятся диссеры, где будет что-то вроде "Больной, тьфу, эксперт К. находясь на лечении, тьфу, при производстве экспертизы в N-ском учреждения страдал, тьфу, дал заключение...". ;) ;D ;D


Название: Re:Экспертные учреждения
Отправлено: usoxthj от 31 Август 2007, 09:58:43
Копия заключения сейчас у адвоката, в двух словах, он там усмотрел "признаки вредоносности - несанционированное копирование конфиденциальной информации пользователей, пересылаемой по сети, без ведома пользователей".
Эксперт Смагин Роман Александрович. Экспертное учреждение в г.Тюмень.
Заключение №154 от 19.02.2007.


Название: Re:Экспертные учреждения
Отправлено: Igor Michailov от 31 Август 2007, 11:05:04
признаки вредоносности - несанционированное копирование конфиденциальной информации пользователей, пересылаемой по сети, без ведома пользователей

УЖАС! Я в шоке!


Название: Re:Экспертные учреждения
Отправлено: Urix от 31 Август 2007, 11:24:00
Цитировать
Копия заключения сейчас у адвоката, в двух словах, он там усмотрел "признаки вредоносности - несанционированное копирование конфиденциальной информации пользователей, пересылаемой по сети, без ведома пользователей".
Этот признак действует только в локальном сегменте Ethernet-сети, в котором использовались простые хабы, а не свичи или роутеры, которые уже сами "режут" чужой трафик. Ну никто же не будет предьявлять обвинение в том, что кто-то специально подслушал разговор, если разговор происходил не в специально оборудованном помещении. А почему-то для широковещательных сетей это делается. В общем, нужно знать в чем Вас обвиняют.

Программа - это агент, исполняющий волю субъекта. Какая воля - такая и программа. Если воля была направлена на причинение вреда и реализована с помощью использования программы, то программа будет вредоносной. Воля, волеизьявление - это юридические категории, поэтому оценка воли - это юридическая оценка. Давать юридическую оценку эксперт не имел права, поскольку это выходит за пределы его компетенции. Эксперт мог говорить только о технической возможности, которую предоставляет программа. А вот была ли использована подозреваемым эта техническая возможность во вред или во благо - на этот вопрос должны отвечать следствие и суд. Насколько мне известно, в WareShark-е нет недокументированных возможностей, заложенных автором кода. Текст открытый, лицензия GPL, прога хорошо документирована. Признаком вредоносности может быть только недокументированная возможность, специально внедренная автором в код. И указать следаку, что судМЕДэксперт пишет в своем заключении "признаки насильственной смерти", а не "признаки убийства". На этом основании ходатайствовать об исключениии результата экспертизы из числа допустимых доказательств в силу п.3 ч.2. ст.75 УПК РФ, поскольку экспертиза сделанна в нарушение п.6 ч.3 ст.57 УПК РФ.

Интересно посмотреть полный текст экспертизы, поскольку там должна быть ссылка на документ, которым руководствовался эксперт делая свое заключение.
Цитировать
УЖАС! Я в шоке!
Я уже оправился от шока. Тот же tcpdump так же можно назвать вредоносным. И format.com. Нужно смотреть "откуда ноги растут" у этой вредоносности. Похоже, что какую-то новую методичку по сбору "наказательств" какая-то сволочь выпустила.


Название: Re:Экспертные учреждения
Отправлено: Igor Michailov от 31 Август 2007, 11:55:18
Выстраивая линию защиты нужно, в том числе исходить из следующего: Раз есть несанкционированный доступ, согласно формальной логике, должен быть и санкционированный доступ. Кто должен санкционировать доступ к конфиденциальной информации пользователей, пересылаемой по сети, без ведома пользователей? Ответ – «Никто», - не пройдет, т.к. тогда отпадает несанкционированный доступ. А сами пользователи его санкционировать не могут, т.к. их конфиденциальная информация была отправлена без их ведома.

Пускай судят тех кто отправлял конфиденциальные данные с компьютеров пользователей, а в Ваших действиях (в том что Вы использовали программу Ethereal) состава преступления нет.


Название: Re:Экспертные учреждения
Отправлено: Николай Николаевич Федотов от 31 Август 2007, 13:54:47
Копия приветствуется, фамилию - не надо.
Тут все жаждут знать героев, а за их ... репутацию мне отвечать. Обойдемся текстами.
Антон Геннадьевич! Одно дело, когда ты клиента разводишь: "владелец домена отвечает за всю размещённую информацию", и совсем другое дело, когда этот владелец - ты сам.  ;)
Впрочем, если опасаешься, давай разместим чёрный список на моём домене. И даже на моём сервере.


Название: Re:Экспертные учреждения
Отправлено: po100ronniy от 31 Август 2007, 17:32:28
Цитировать
признаки вредоносности - несанционированное копирование конфиденциальной информации пользователей, пересылаемой по сети, без ведома пользователей

Насколько мне известно, под копированием компьютерной информации следует понимать повторное однозначное устойчивое запечатление отрезка информации на материальном носителе. Воспроизведение отрезка информации на экране монитора без перезаписи на материальный носитель (в том числе распечатки через принтер) копированием информации признать нельзя.
Причем такое копирование должно быть свойством программы, т. е. программа должна делать это самостоятельно, без дополнительной команды извне.


Название: Re:Экспертные учреждения
Отправлено: CyberCop от 23 Сентябрь 2007, 10:23:21
Насколько мне известно, под копированием компьютерной информации следует понимать повторное однозначное устойчивое запечатление отрезка информации на материальном носителе.
    Небольшая поправочка: НА ОТЛИЧНОМ ОТ ОРИГИНАЛА МАТЕРИАЛЬНОМ НОСИТЕЛЕ.  :D

Воспроизведение отрезка информации на экране монитора без перезаписи на материальный носитель копированием информации признать нельзя.
    Вы, не правы! Запись программы в оперативную память ЭВМ или другого компьютерного устройства - ЕСТЬ КОПИРОВАНИЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ, поскольку имеет место ее повторное и устойчивое запечатление на отличном от оригинала материальном носителе.  ;)


Название: Re:Экспертные учреждения
Отправлено: Сергей Середа от 23 Сентябрь 2007, 12:00:24
Насколько мне известно, под копированием компьютерной информации следует понимать повторное однозначное устойчивое запечатление отрезка информации на материальном носителе.
    Небольшая поправочка: НА ОТЛИЧНОМ ОТ ОРИГИНАЛА МАТЕРИАЛЬНОМ НОСИТЕЛЕ.  :D

Воспроизведение отрезка информации на экране монитора без перезаписи на материальный носитель копированием информации признать нельзя.
    Вы, не правы! Запись программы в оперативную память ЭВМ или другого компьютерного устройства - ЕСТЬ КОПИРОВАНИЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ, поскольку имеет место ее повторное и устойчивое запечатление на отличном от оригинала материальном носителе.  ;)

А вот уважаемый Павел Протасов как-то написал очень правильную вещь - закон не разделяет оперативную и внешнюю память ЭВМ, это специалисты разделяют, а для закона что информация в оперативной памяти, что на экране, что на НЖМД, это все - информация в ЭВМ, поэтому все манипуляции с информацией внутри ЭВМ отношения к делу не имеют. Копирование информации есть либо "в ЭВМ", либо "из ЭВМ" и всё.

А сниффер ни с каких других ЭВМ никакой информацмм не копирует, он просто перехватывает и по заданному алгоритму обрабатывает пакеты, пропускаемые сетевым ПО через ту ЭВМ, на которой этот сниффер и установлен. Поэтому сниффер ничего, с точки зрения закона, не копирует, ни законно, ни незаконно - он просто перемещает информацию внутри ЭВМ - сам он её с других ЭВМ не берёт.



Название: Re:Экспертные учреждения
Отправлено: Urix от 23 Сентябрь 2007, 14:11:26
Цитировать
А сниффер ни с каких других ЭВМ никакой информацмм не копирует
Правильно, но для широковещательных сетей. Сети, в которых стоят свичи, такую возможность в общем-то не предоставляют.


Название: Re:Экспертные учреждения
Отправлено: usoxthj от 11 Октябрь 2007, 21:05:41
Всем спасибо.
Повторная экспертиза не потребовалась, удалось доказать, что программа не вредоносная.
Гособвинитеь снял это обвинение.
Помогли ваши пояснения и ген.директора "Национального центра по борьбе с преступлениями в сфере высоких технологий".


Название: Re:Экспертные учреждения
Отправлено: soundspice от 16 Январь 2008, 15:23:30
где происходило снятие обвинения? в суде? или до суда...?


Название: Re:Экспертные учреждения
Отправлено: UberFrau от 14 Февраль 2008, 22:02:28
Здравствуйте. Мне необходимо провести независимую компьютерную экспертизу (определить вредоносность программы).

Можно нескромный вопрос. Что Вы подразумеваете под вредоностностью программы? Как будет озвучен вопрос эксперту? Является ли данная программа расположенная на диске Х: вредоносной? Я например, все продукты от MS расценила как вредоносные, и могла бы это доказать. Может Вам стоит конкретизировать вопрос эксперту?


Название: Re:Экспертные учреждения
Отправлено: Сергей Середа от 15 Февраль 2008, 00:07:29
Здравствуйте. Мне необходимо провести независимую компьютерную экспертизу (определить вредоносность программы).
Можно нескромный вопрос. Что Вы подразумеваете под вредоностностью программы? Как будет озвучен вопрос эксперту? Является ли данная программа расположенная на диске Х: вредоносной? Я например, все продукты от MS расценила как вредоносные, и могла бы это доказать. Может Вам стоит конкретизировать вопрос эксперту?

С учётом проведённого анализа понятия "вредоносность", можно поставить вопрос так:

Осуществляет ли переданная на экспертизу программа для ЭВМ, в силу её внутреннего устройства, неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети) без участия и без предварительного уведомления вышеуказанных субъектов?




Название: Re:Экспертные учреждения
Отправлено: UberFrau от 15 Февраль 2008, 11:58:01
А если при инсталяции внесены изменения в реестр? Добавлена лишняя "кнопочка" в меню проводника? Можно сказать модификация. Затирая старые версии файлов ставит обновленные. И не затирает за собой данные, например в pagefile.sys. (можно расценить как копирование без ведома пользователя). А как быть с продуктами 1С, при их инсталяции они так и норовят установить себя как домашняю страницу, не считая прочих мелких наворотов. Мб стоит вопрос о вредоностности программы расценивать, как вопрос о возможных последствиях ее использования? Я понимаю, примеры очень грубые. Но ведь все программы оставляют следы в своей работе, неизвестные пользователю (без специальных познаний), все предназначенны для проведения каких-либо действий, т.е. модификацию данных. Объясните мне кто может. Заранее благодарна.


Название: Re:Экспертные учреждения
Отправлено: Сергей Середа от 15 Февраль 2008, 12:45:46
А если при инсталяции внесены изменения в реестр? Добавлена лишняя "кнопочка" в меню проводника? Можно сказать модификация. Затирая старые версии файлов ставит обновленные. И не затирает за собой данные, например в pagefile.sys. (можно расценить как копирование без ведома пользователя). А как быть с продуктами 1С, при их инсталяции они так и норовят установить себя как домашняю страницу, не считая прочих мелких наворотов. Мб стоит вопрос о вредоностности программы расценивать, как вопрос о возможных последствиях ее использования? Я понимаю, примеры очень грубые. Но ведь все программы оставляют следы в своей работе, неизвестные пользователю (без специальных познаний), все предназначенны для проведения каких-либо действий, т.е. модификацию данных. Объясните мне кто может. Заранее благодарна.

Чтобы было более понятно, откуда взялась приведённая мной формулировка, посмотрите этот материал (http://consumer.nm.ru/malware.htm).


Название: Re:Экспертные учреждения
Отправлено: UberFrau от 15 Февраль 2008, 12:52:13
Ошибка 404, страница не найдена ((


Название: Re:Экспертные учреждения
Отправлено: Николай Николаевич Федотов от 15 Февраль 2008, 13:28:12
А если при инсталяции внесены изменения в реестр? Добавлена лишняя "кнопочка" в меню проводника? Можно сказать модификация. Затирая старые версии файлов ставит обновленные. И не затирает за собой данные, например в pagefile.sys. (можно расценить как копирование без ведома пользователя).
Почему без ведома пользователя?

Пользователь, по-вашему, должен ведать о каждом изменённом байте? Или всё-таки о запуске программы в целом?


Название: Re:Экспертные учреждения
Отправлено: Сергей Середа от 15 Февраль 2008, 13:29:07
Ошибка 404, страница не найдена ((

Упс! Лишнюю кавычку поставил. Сейчас ссылка работает.