Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: Сitizen от 01 Февраля 2010, 21:20:53



Название: Возможность фальсификации доказательств
Отправлено: Сitizen от 01 Февраля 2010, 21:20:53
Вот нашел интересную статью на Компьютерра-онлайн, хоть и за 2007 год: "Улики под сомнением" (http://www.computerra.ru/focus/325828/).

Собственно вопрос к экспертам. Трудно ли, по вашему мнению, подделать доказательства, извлекаемые из компьютера? Скажем, установить необходимые программы, скопировать порнографию, тексты экстремистского содержания и так далее, а затем придать этому всему правдоподобность (изменить дату, время и т.д.). И как при этом контролируется проведение компьютерно-технической экспертизы?


Название: Re:Возможность фальсификации доказательств
Отправлено: JAW от 01 Февраля 2010, 22:19:44
Вот нашел интересную статью на Компьютерра-онлайн, хоть и за 2007 год: "Улики под сомнением" (http://www.computerra.ru/focus/325828/).

Собственно вопрос к экспертам. Трудно ли, по вашему мнению, подделать доказательства, извлекаемые из компьютера? Скажем, установить необходимые программы, скопировать порнографию, тексты экстремистского содержания и так далее, а затем придать этому всему правдоподобность (изменить дату, время и т.д.). И как при этом контролируется проведение компьютерно-технической экспертизы?

Как два пальца. Если эксперт не полный лох...
К счастью такими вещами развлекаются исключительно лохи...

Поскольку я таки не эксперт и не юрист, то скажу, как один раз юриста фирмы прижучил (Увольняли тёщу с работы по статье)... Он умудрился нарисовать 3 приказа о выговоре с занесением в трудовую одним и тем же почерком, одной и той же ручкой (чернила не просохли) с датами ровно в месяц разницы. На что ему было указано... Было сказано, что хоть я и не эксперт, но любой эксперт в состоянии это установить. В результате добился увольнения с соответствующими компенсациями... (Этот придурок ещё догадался признаться в присутствии свидетелей).

В общем лохов много, и рассчитывают именно на них. И это нас, местами, спасает.


Название: Re:Возможность фальсификации доказательств
Отправлено: eleron от 01 Февраля 2010, 22:28:46
Трудно. При подделке доказательств нужно не только сделать скопированные файлы "не выделяющимися" в системе, но и создать следы работы с этими файлами. И одним изменением временных меток тут явно не обойтись.


Название: Re:Возможность фальсификации доказательств
Отправлено: JAW от 01 Февраля 2010, 22:38:54
Следы обращения к файлам создать не сложно, но это и не нужно...
Даты создания и модификации файлов будет достаточно.

Вообще имела бы смысл технология создания образа диска с составлением полных контрольных сумм этого образа в присутствии подозреваемого с передачей ему контрольных сумм. Ну, или что-то подобное...

К сожалению, эти гадики просто заклеивают корпус компьютера скотчем...
А эксперты просто запускают комп и начинают там шерудить.
Собственно они сами вполне способны с того компа накачать детской порнухи, поменять даты файлов и всех делов...

P.S. Вот интересно... Я не знаю где качать детскую порнуху... Интересно, эксперты в курсе откуда? И откуда они в курсе?


Название: Re:Возможность фальсификации доказательств
Отправлено: eleron от 01 Февраля 2010, 22:52:27
Цитировать
Следы обращения к файлам создать не сложно, но это и не нужно...
Даты создания и модификации файлов будет достаточно.

Тогда вот вам задачка:

Дано: НЖМД с единственной установленной ОС (Windows 7).
Задача: залить туда ПО с "признаками контрафактности" и всяких разных картинок.

Я уверен, что даже продвинутый гик не сможет предложить решение задачи, при котором не остается ни одного типичного следа фальсификации. Хотите опровергнуть? ;)


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 01 Февраля 2010, 22:52:31
И одним изменением временных меток тут явно не обойтись.
Под приданием правдоподобности я подразумевал изменение всех необходимых для этого метаданных, включая временные метки, идентификатор пользователя и т.д.

Трудно.
То есть, как минимум, это возможно. Тогда более актуальным становится именно второй вопрос, который я задал вначале этой темы.


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 01 Февраля 2010, 23:02:15
Я уверен, что даже продвинутый гик не сможет предложить решение задачи, при котором не остается ни одного типичного следа фальсификации. Хотите опровергнуть? ;)
То есть Вы категорично отвергаете возможность подделки доказательств без оставления следов о фальсификации?

P.S. Было бы неплохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите этого делать в силу каких-то определенных причин, то я Вас пойму.


Название: Re:Возможность фальсификации доказательств
Отправлено: eleron от 01 Февраля 2010, 23:18:10
Цитировать
То есть Вы категорично отвергаете возможность подделки доказательств без оставления следов о фальсификации?

Я допускаю такую возможность. Но это маловероятно... и по большому счету всё зависит от знаний того, кто подделывает, и того, кто ищет.

Цитировать
P.S. Было бы не плохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите это делать в силу каких-то определенных причин, то я Вас пойму.

Пример: проект Metasploit предоставляет утилиту Timestomp (http://www.metasploit.com/research/projects/antiforensics/), предназначенную для изменения временных меток MAC(E) в файловых системах FAT и NTFS. Данная программа оставляет очень хороший след в NTFS - она изменяет лишь 4 временных метки из 8. Поэтому у вас не получится скопировать на подключенный носитель с NTFS пару файлов, а затем изменить их временные метки без каких-либо следов.


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 01 Февраля 2010, 23:20:15
НЖМД с единственной установленной ОС (Windows 7).
Если не секрет, почему выбрана именно эта операционная система?


Название: Re:Возможность фальсификации доказательств
Отправлено: eleron от 01 Февраля 2010, 23:31:34
Цитировать
Вообще имела бы смысл технология создания образа диска с составлением полных контрольных сумм этого образа в присутствии подозреваемого с передачей ему контрольных сумм. Ну, или что-то подобное...

Вряд ли это возможно. Хотя бы потому, что даже самые-самые forensically sound дистрибутивы Linux в некоторых случаях могут вносить изменения в исследуемые данные. И, вероятно, придется очень долго ждать, когда хотя бы 90 % судебных дистрибутивов будут "пуленепробиваемыми".

Кроме того, на Storage Developer Conference ребята из Майкрософт упоминали об "умных" SSD, которые самостоятельно обрабатывают свободное пространство ФС FAT для выравнивания изнашивания (т.е. данные могут измениться в любое время работы диска даже при использовании блокировки записи).


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 01 Февраля 2010, 23:54:41
Вряд ли это возможно. Хотя бы потому, что даже самые-самые forensically sound дистрибутивы Linux в некоторых случаях могут вносить изменения в исследуемые данные. И, вероятно, придется очень долго ждать, когда хотя бы 90 % судебных дистрибутивов будут "пуленепробиваемыми".
Encase  уже года два-три как в ходе клонирования создает хеши для каждого файла в образе+для цепочки клонированных секторов в образе. Поэтому в случае повреждения (случайного или умышленного) образа всегда можно сказать какие данные в образе подверглись изменению и не исследовать их. Или исследовать, но в выводах оговориться, что исследованные данные были изменены поэтому результаты могут быть недостоверны или сфальсифицированы.


Название: Re:Возможность фальсификации доказательств
Отправлено: Николай Николаевич Федотов от 02 Февраля 2010, 00:11:34
Собственно вопрос к экспертам. Трудно ли, по вашему мнению, подделать доказательства, извлекаемые из компьютера? Скажем, установить необходимые программы, скопировать порнографию, тексты экстремистского содержания и так далее, а затем придать этому всему правдоподобность (изменить дату, время и т.д.). И как при этом контролируется проведение компьютерно-технической экспертизы?

Было у меня такое дело. Защита утверждала, что в промежуток времени между изъятием компьютера и КТЭ на диск была записана информация, которая затем легла в основу обвинения. Эксперт не исследовал вопрос, когда и кем она была записана. Защита добилась назначения дополнительной экспертизы. Но следователь поручил её милицейскому эксперту, который все вопросы защиты по поводу "когда" и "в какой последовательности" умело обошёл. Когда я последний раз общался с участниками дела, защита писала ходатайство о третьей, повторной экспертизе. У меня есть серьёзные основания полагать, что когда (и если) они добьются повторной, жёсткий диск компьютера окажется процарапанным гвоздиком.

В этом плане компьютерная экспертиза мало отличается от любой другой. Везде есть возможность изменить следы, потом найти следы изменения следов, изменить их и так далее.


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 02 Февраля 2010, 00:44:42
Цитировать
Вообще имела бы смысл технология создания образа диска с составлением полных контрольных сумм этого образа в присутствии подозреваемого с передачей ему контрольных сумм. Ну, или что-то подобное...
Вряд ли это возможно.
В данном случае это и нецелесообразно. Не следует просто передавать контрольные образцы кому бы то ни было, а тем более заинтересованным лицам. Должна подразумеваться невозможность, как минимум, незаметного изменения этих образцов.

У меня есть серьёзные основания полагать, что когда (и если) они добьются повторной, жёсткий диск компьютера окажется процарапанным гвоздиком.
На мой взгляд, это можно будет считать победой стороны защиты, поскольку доказательства будут испорчены, а соответственно нельзя будет что-либо достоверно утверждать.

В этом плане компьютерная экспертиза мало отличается от любой другой. Везде есть возможность изменить следы, потом найти следы изменения следов, изменить их и так далее.
Ну, хоть какой-то контроль существует? Как, например, обязательное присутствие понятых при проведении проверок, опечатывание имущества при транспортировки. Я, конечно, понимаю, что абсолютной защиты существовать в принципе не может, но все же.


Название: Re:Возможность фальсификации доказательств
Отправлено: Антон Серго от 02 Февраля 2010, 02:15:09
Дано: НЖМД с единственной установленной ОС (Windows 7).
Задача: залить туда ПО с "признаками контрафактности" и всяких разных картинок.
Вы не поверите - но задача решится без труда.
1. В системе меняется дата на момент пока ПК был в Ваших руках.
2. Туда добавляется все, что закажете.
"Экспертиза" установит, что все это было у Вас.
Хотите поспорить? Не стоит.
Эксперт найдет, все что захочет.
Судья - не технарь, заключения эксперта ему будет достаточно.

Поймите очевидную вещь: Вы пытаетесь что-то доказать, на основе глубокого технического изучения предмета обсуждения. судья - гуманитарий, он юрист, он будет смотреть на ситуацию по бумагам. есть заключение эксперта - есть вывод, все ясно.

Цитировать
Я уверен, что даже продвинутый гик не сможет предложить решение задачи, при котором не остается ни одного типичного следа фальсификации. Хотите опровергнуть? ;)
Возможно их будет много, но на решение суда то никак не повлияет.

P.S. Я никогда не встречался  с такими экспертами и даже не знаю, существуют ли они в природе. Надеюсь, что нет, но на вопрос я Вам ответил.


Название: Re:Возможность фальсификации доказательств
Отправлено: eleron от 02 Февраля 2010, 02:20:33
Цитировать
Поймите очевидную вещь: Вы пытаетесь что-то доказать, на основе глубокого технического изучения предмета обсуждения. судья - гуманитарий, он юрист, он будет смотреть на ситуацию по бумагам. есть заключение эксперта - есть вывод, все ясно.

Увы, речь шла про возможность обнаружения фальсификации при проведении N+1 экспертизы.


Название: Re:Возможность фальсификации доказательств
Отправлено: Антон Серго от 02 Февраля 2010, 02:36:56
Цитировать
Увы, речь шла про возможность обнаружения фальсификации при проведении N+1 экспертизы.
А, тогда соглашусь, что совсем бесследно это сделать неполучится.
Я думал, Вы о практике.


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 02 Февраля 2010, 02:50:53
Поэтому у вас не получится скопировать на подключенный носитель с NTFS пару файлов, а затем изменить их временные метки без каких-либо следов.
В таком случае изменим исходные условия задачи. Предположим, что некоторые меры были приняты до копирования на диск поддельных доказательств (были изменены системная дата и время).


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 02 Февраля 2010, 02:57:49
Поймите очевидную вещь: Вы пытаетесь что-то доказать, на основе глубокого технического изучения предмета обсуждения. судья - гуманитарий, он юрист, он будет смотреть на ситуацию по бумагам. есть заключение эксперта - есть вывод, все ясно.
За N-ое количество лет работы в данной области, ни разу не встретил в постановлении о назначении экспертизы вопрос (поставленный следователем или обвиняемым/ подозреваемым) к эксперту о том, вносились ли на изъятый носитель данные или производились ли иные изменения информации, содержащейся на носителе, после момента его изъятия.

А придумывать вопросы себе сам эксперт, в ходе производства экспертизы, не в праве.


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 02 Февраля 2010, 03:01:11
Предположим, что некоторые меры были приняты до копирования на диск поддельных доказательств (были изменены системная дата и время).
Если мы рассматриваем файловую систему NTFS, осталось только придумать как переписать жесткие ссылки (hard link). В чем я вам искренне желаю удачи ;D


Название: Re:Возможность фальсификации доказательств
Отправлено: eleron от 02 Февраля 2010, 03:12:07
Цитировать
P.S. Было бы неплохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите этого делать в силу каких-то определенных причин, то я Вас пойму.

Цитировать
В таком случае изменим исходные условия задачи. Предположим, что некоторые меры были приняты до копирования на диск поддельных доказательств (были изменены системная дата и время).

Спасибо за понимание :)


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 02 Февраля 2010, 03:26:06
Если мы рассматриваем файловую систему NTFS, осталось только придумать как переписать жесткие ссылки (hard link). В чем я вам искренне желаю удачи ;D
Простите, но несовсем понял, что Вы этим хотели сказать. Что не так с жесткими ссылками?

Цитировать
P.S. Было бы неплохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите этого делать в силу каких-то определенных причин, то я Вас пойму.
Цитировать
В таком случае изменим исходные условия задачи. Предположим, что некоторые меры были приняты до копирования на диск поддельных доказательств (были изменены системная дата и время).
Спасибо за понимание :)
Это следует понимать как просто благодарность или с каким-то подтекстом?


Название: Re:Возможность фальсификации доказательств
Отправлено: pvp от 03 Февраля 2010, 00:49:17
За N-ое количество лет работы в данной области, ни разу не встретил в постановлении о назначении экспертизы вопрос (поставленный следователем или обвиняемым/ подозреваемым) к эксперту о том, вносились ли на изъятый носитель данные или производились ли иные изменения информации, содержащейся на носителе, после момента его изъятия.
А придумывать вопросы себе сам эксперт, в ходе производства экспертизы, не в праве.

А вопросы придумывать ему не надо, пусть ответы придумывает.  ;D
Цитировать
Статья 57. Эксперт

3. Эксперт вправе:
...
4) давать заключение в пределах своей компетенции, в том числе по вопросам, хотя и не поставленным в постановлении о назначении судебной экспертизы, но имеющим отношение к предмету экспертного исследования;


Название: Re:Возможность фальсификации доказательств
Отправлено: Николай Николаевич Федотов от 03 Февраля 2010, 00:57:11
На мой взгляд, это можно будет считать победой стороны защиты, поскольку доказательства будут испорчены, а соответственно нельзя будет что-либо достоверно утверждать.
Вы издеваетесь, что ли?
Или просто в суде ни разу не были?


Ну, хоть какой-то контроль существует? Как, например, обязательное присутствие понятых при проведении проверок, опечатывание имущества при транспортировки. Я, конечно, понимаю, что абсолютной защиты существовать в принципе не может, но все же.
Представьте, что вы понятой. На ваших глазах техник-криминалист рассыпает какой-то порошок, чем-то брызгает, потом, бормоча заклинания, лепит и сдирает какие-то плёнки, которые достал из-под подкладки шляпы. Затем вам предлагают засвидетельствовать своей подписью, что было произведено снятие папилярных следов на месте преступления. Вопрос в зале суда: "Гражданин понятой, вы поняли, в каком месте вас обманули?"


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 03 Февраля 2010, 01:42:52
Вы издеваетесь, что ли?
Или просто в суде ни разу не были?
Нет, не был. Просто пытаюсь руководствоваться п.3 статьи 49 Конституции РФ и здравым смыслом.
Если есть основания полагать, что доказательства на предоставленном на экспертизу носителе были фальсифицированы, при этом данный факт не был надлежащим образом исследован, а провести повторную экспертизу не представляется возможным, то, на мой взгляд, возникают сомнения в правильности сделанных ранее выводов и именно неустранимые.

Представьте, что вы понятой. На ваших глазах техник-криминалист рассыпает какой-то порошок, чем-то брызгает, потом, бормоча заклинания, лепит и сдирает какие-то плёнки, которые достал из-под подкладки шляпы. Затем вам предлагают засвидетельствовать своей подписью, что было произведено снятие папилярных следов на месте преступления. Вопрос в зале суда: "Гражданин понятой, вы поняли, в каком месте вас обманули?"
Пример с понятыми был призван показать, что другие аспекты расследования контролируются и только. Я вовсе не собирался предлагать присутствие при экспертизе лиц, ничего в этом не понимающих.


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 03 Февраля 2010, 06:24:29
А вопросы придумывать ему не надо, пусть ответы придумывает.  ;D
Право - не обязанность.  ;)


Название: Re:Возможность фальсификации доказательств
Отправлено: Николай Николаевич Федотов от 05 Февраля 2010, 20:43:17
Если есть основания полагать, что доказательства на предоставленном на экспертизу носителе были фальсифицированы, при этом данный факт не был надлежащим образом исследован, а провести повторную экспертизу не представляется возможным, то, на мой взгляд, возникают сомнения в правильности сделанных ранее выводов и именно неустранимые.
Это неверное, максималистское, ультралевацкое и, главное, контрпродуктивное толкование.

Основания полагать, что дело фальсифицировано, есть всегда. Всегда. То есть совсем ВСЕГДА, ровно в 100% случаев. Любой защитник по любому делу сочинит вам десять убедительных и непротиворечивых версий о том, как, кем и почему доказательства были сфальсифицированы. И чё теперь, никого не осуждать? Закрыть лавочку?


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 05 Февраля 2010, 21:31:36
Основания полагать, что дело фальсифицировано, есть всегда. Всегда. То есть совсем ВСЕГДА, ровно в 100% случаев. Любой защитник по любому делу сочинит вам десять убедительных и непротиворечивых версий о том, как, кем и почему доказательства были сфальсифицированы. И чё теперь, никого не осуждать? Закрыть лавочку?
Возможно, в каких-то случаях допущения и оправданы при вынесении обвинительного приговора. Но знаете ли, портить или терять вещдок, чтобы нельзя было опровергнуть экспертизу - не вариант.


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 05 Февраля 2010, 21:33:26
Основания полагать, что дело фальсифицировано, есть всегда. Всегда. То есть совсем ВСЕГДА, ровно в 100% случаев.
Теория заговора называется.


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 05 Февраля 2010, 21:37:30
Но знаете ли, портить или терять вещдок, чтобы нельзя было опровергнуть экспертизу - не вариант.
Очень даже вариант. Кроме того, есть методы исследования, в том числе и в криминалистике,  основанные именно на этом принципе. Они так и называются - разрушающие методы исследования.


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 05 Февраля 2010, 21:45:20
Кроме того, есть методы исследования, в том числе и в криминалистике,  основанные именно на этом принципе. Они так и называются - разрушающие методы исследования.
Позвольте полюбопытствовать при исследовании чего применяются данные методы? И в каких случаях?


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 06 Февраля 2010, 00:52:05
Позвольте полюбопытствовать при исследовании чего применяются данные методы? И в каких случаях?
Вы издеваетесь? Это ж пятилетний курс криминалистики (с практическими занятиями и семинарами).

Пример разрушающего метода - копирование данных из ОЗУ (когда для копирования данных из ОЗУ в память исследуемого компьютера внедряется специализированное ПО. Уничтожая малое, сохраняем большее).


Название: Re:Возможность фальсификации доказательств
Отправлено: Сitizen от 06 Февраля 2010, 02:44:58
Вы издеваетесь?
Нет. Просто хотел уточнить применяются ли данные методы лишь в исключительных случаях, когда по другому исследовать объект не представляется возможным (то есть другие методы являются либо малоэффективными, либо неэффективными вовсе). И разрушается ли при этом весь объект или только какая-либо его часть с сохранением другой части, достаточной для проведения повторной экспертизы.

Пример разрушающего метода - копирование данных из ОЗУ (когда для копирования данных из ОЗУ в память исследуемого компьютера внедряется специализированное ПО. Уничтожая малое, сохраняем большее).
Больше похоже на исключительную ситуацию, при которой полностью заняты как физическая память, так и файл/раздел подкачки. При этом уничтожается лишь часть данных. Остальное содержимое ОЗУ остается нетронутым и может быть использовано для повторного исследования.


Название: Re:Возможность фальсификации доказательств
Отправлено: Николай Николаевич Федотов от 06 Февраля 2010, 21:09:43
Но знаете ли, портить или терять вещдок, чтобы нельзя было опровергнуть экспертизу - не вариант.
А для противной стороны - вариант. Действенный, кстати. Находится в арсенале любого следователя и адвоката.


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 06 Февраля 2010, 22:02:25
А для противной стороны - вариант. Действенный, кстати.
Кстати, "да".


Название: Re:Возможность фальсификации доказательств
Отправлено: guru от 08 Февраля 2010, 21:47:44
новую тему не захотела заводить, думаю здесь - самое место.
коллеги, как вы думаете чтобы выбить жестский диск из общего числа доказательств по делу можно ли сыграть на том, что его нет в приложениях протокола осмотра места происшествия (представляете даже такие косяки допускают!)? но при этом при упаковке наш дурачок обвиняемый расписался на упаковочной бумаге.


Название: Re:Возможность фальсификации доказательств
Отправлено: Igor Michailov от 08 Февраля 2010, 21:52:04
новую тему не захотела заводить, думаю здесь - самое место.
коллеги, как вы думаете чтобы выбить жестский диск из общего числа доказательств по делу можно ли сыграть на том, что его нет в приложениях протокола осмотра места происшествия (представляете даже такие косяки допускают!)? но при этом при упаковке наш дурачок обвиняемый расписался на упаковочной бумаге.
Например, если в экспертизе нет фото, можно оспорить - а тот ли объект вообще исследовался экспертом. ;)


Название: Re:Возможность фальсификации доказательств
Отправлено: guru от 08 Февраля 2010, 22:03:27
Например, если в экспертизе нет фото, можно оспорить - а тот ли объект вообще исследовался экспертом. ;)
я тоже так думаю! у нас с Вами мнение совпадает! ;)
а можно ли по поводу упаковки сказать, что он дурачок и не знал что подписывал? и вообще докажите что это упаковочная бумага?