Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: CyberCop от 26 Февраля 2005, 21:23:09



Название: Как разбить в суде Заключение эксперта...
Отправлено: CyberCop от 26 Февраля 2005, 21:23:09
Судебная практика по делам о компьютерных преступлениях показывает, что в ходе судебного заседания сторонам бывает очень легко исключить из списка доказательств виновности (невиновности) подсудимого Заключение эксперта, производившего компьютерно-техническую экспертизу, если выясняются следующие обстоятельства ее производства:
 
1. Экспертиза проводились на несертифицированном компьютерном оборудовании - не имеющем сертификата соответствия Требованиям и рекомендациям по безопасности информации Гостехкомиссии России. Эти сертификаты выдаются по итогам аттестации (проведения специальных исследований) объектов информатизации и (или) технических средств обработки информации Спеццентрами Гостехкомиссии России или уполномоченными ими негосударственными предприятиями и организациями.
 
2. При производстве экспертизы использовались программы для ЭВМ (операционная система, утилиты и др.), не имеющие соответствующих лицензионных соглашений, т.е. контрафактные.
 
3. Перед исследованием стендовый или инструментальный компьютер, а равно иное компьютерное устройство, не были тестированы лицензированными антивирусными программными средствами на предмет отсутствия в них вредоносных программ для ЭВМ либо об этом не было сделано соответствующей отметки в Заключении эксперта до начала описания исследования объектов.
 
4. Стендовый (исследовательский) компьютер, как правило, не должен быть физически подключен к какой-либо сети ЭВМ. Это же требование относится и к другим техническим устройствам, используемым в качестве инструментария эксперта.
 
5. Стендовый (исследовательский) компьютер и штатный комплект программно-технических экспертных средств к нему должны находится в выделенном охраняемом помещении, исключающем доступ в него посторонних лиц, особенно при производстве экспертизы.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 26 Февраля 2005, 22:36:11
Много спорных моментов.

Не хочу их освещать в открытом топике. В суде я бы с Вами поспорил. ;D

Кстати, Вы так и не упомянули главного "аргумента"!!!  ;D ;D ;D

Из моей практики. Заключение эксперта по компьютерным преступлениям, как правило, является только косвенным (дополнительным) доказательством. Исключите заключение эксперта - остануться другие доказательства и обвиняемого все-равно осудят. Тем более судьи, как правило, не владеют техническими заниями даже на уровне продвинутого пользователя. Поэтому строят приговор на понятных для них доказательствах а не на каких-то заключениях эксперта написанных вроде и по русски но не известными судье словами.

Я бы назвал в таких делах ключевым документом (ну, после обвинительного заключения и ряда других)  -допрос специалиста, где судье доступно разжевывается, что собственно сделал обвиняемый и чем это доказывается.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 26 Февраля 2005, 22:41:04
Если так дело дальше пойдет - организую ветку "Как развалить защиту кандидатской / докторской по специальности 12.00.09".

 ;D ;D ;D


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 26 Февраля 2005, 23:49:26
Не смог удержаться. :)
По вирусам - отдельная песня (мы ее помниться с Маратом в привате уже обсуждали. Вынужден признать - к единому мнению не пришли):
1) Не все вирусы (чуть не написал - одинаково полезны)обнаруживаются антивирусными программами.
2)Исходя из пункта 1 - что же теперь весь код на НЖМД "перерывать" (а ведь есть еще неявные функции, недокументированные команды, системы защиты программ и т.д. и т.п.)? Тогда неплохо было-бы, сначала переписать УПК РФ - удлинив сроки расследования УД на пару - тройку тысяч лет.
Кроме того, уважаемый Cybercop, видимо, забыл, что некоторые кодовые последовательности обратной декомпиляции не поддаются.
3) Частный случай: Если на НЖМД системного блока изъятого у злодея (пусть это будет некто похищавший конфиденциальную информацию с расшаренных сетевых дисков), я нашел (О УЖАС!) вирус с громким названием "Чернобыль". Что это дает следствию? Что это доказывает по делу? НИЧЕГО!!!

Опять-же из своей экспертной практики: в 99,9% случаев наличие или отсутствие вирусов на исследуемом НЖМД ничего по УД не доказывает. Это не нужно ни стороне обвинения ни стороне защиты.

Я бы много еще чего написал, в продолжение, да времени жалко.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Николай Николаевич Федотов от 27 Февраля 2005, 01:17:53
1. Экспертиза проводились на несертифицированном компьютерном оборудовании - не имеющем сертификата соответствия Требованиям и рекомендациям по безопасности информации Гостехкомиссии России.

Кстати, на какие именно РД и ГОСТы посоветуете сертифицировать компьютер эксперта и по какому классу? Специального РД на КТЭ ведь не существует...


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 27 Февраля 2005, 08:20:20
В продолжение темы.
Я так понял, уважаемый CyberCop, предлагает задавать в суде эксперту вопросы насчет того сертифицирована у него техника и лицензионное ли ПО установлено на стендовой ПЭВМ.

Однако, разве на эти вопросы должен отвечать эксперт? Давайте разберемся.

Николай Николаевич, если  Вы не работаете в конторе типа ФСБ (или бывшей ФАПСИ), то, на мой взгляд, дополнительно сертифицировать стендовую ПЭВМ не надо. CyberCop , видимо забыл как определяется является ли информация секретной или нет (намекаю, гриф сов.секретно я и на заборе могу написать). Любой продаваемый компьютер, по определению сертифицирован, иначе торговая  фирма нарушает правила торговли и ее закроют соответствующие инстанции.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Николай Николаевич Федотов от 27 Февраля 2005, 14:50:16
Любой продаваемый компьютер, по определению сертифицирован, иначе торговая  фирма нарушает правила торговли и ее закроют соответствующие инстанции.

Вот взяли моду - употреблять слово "сертифицированный" без уточнения КЕМ и НА ЧТО техника сертифицирована. Наши сервера, к примеру, сертифицированы по "ССС" и на электробезопасность. Можем ещё сертифицировать на содержание CO в выхлопе. Какая здесь связь с вопросами экспертизы?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 27 Февраля 2005, 15:17:14
А как Ваши сервера соотносятся с понятием "стендовая ПЭВМ"?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 28 Февраля 2005, 11:16:49
Я понимаю, что люди, занимающиеся сертификацией тоже хотят кушать, не думаю, однако, что это является достаточным аргументом в пользу обязательной сертификации средств КТЭ. Любителям всяческих сертификаций хотелось бы задать встречные вопросы. Как известно год назад сертификат Гостехкомиссии был выдан на 300 экземпляров ОС Windows XP (SP1a). Очень хотелось бы узнать, сколько недокументированных возможностей было выявлено в ходе сертификационных испытаний, желательно в процентном отношении к числу таких возможностей, устраненных в SP2 и других патчах, вышедших после выдачи сертификата? Ведет ли установка дополнительного программного обеспечения, в том числе упомянутых выше SP2 и патчей, к утрате сертификата? Сколько времени занимает процедура сертификации дополнительного программного обеспечения? Сколько патчей и сервис паков, выпущенных после выдачи сертификата на ОС Windows XP (SP1a), сертифицированно к настоящему моменту? Каковы общепринятые рекомендации по срокам установки патчей и сервис паков? Возможно ли  соблюдение этих рекомендаций при существующей процедуре сертификации? Насколько безопасно функционирование системы с известными широкой публике недокументированными возможностями? С учетом всего этого требование обязательной сертификации увеличивает, снижает или не влияет на уровень безопасности системы?
Сюда же кстати относится и требование антивирусной проверки стендового компьютера (полагаю, что имеется в виду не обнаружение вирусов на исследуемых носителях, о обеспечение безопасности самого инструмента для исследований). Очень бы хотелось понять насколько это достаточно разумное требование может быть выполнено одновременно с требованием обязательной сертификации при том условии, что обновления антивирусного ПО всех известных компаний выходят по нескольку раз в неделю?
Требование обязательного отсутствия соединения с сетью не верно по сути, ибо некоторые типы исследований могут быть выполнены только в среде сетевого окружения, а для значительной части исследований наличие сетевого окружения сильно облегчает процедуру исследования, особенно когда это исследование выполняется группой из нескольких экспертов.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 28 Февраля 2005, 13:01:45
Хотелось бы ответить на некоторые моменты в сообщении Dmitry.

1.Для обеспечения антивирусной безопасности используются не только антивирусы.  ;D
а) После производства экспертизы НЖМД стендовой ПЭВМ очищается и файловая система с ОС и сервисными утилитами восстанавливается из образа диска (автор идеи - участник форума под ником  Марат).
б) Исследование проводиться на виртуальной машине. После исследования виртуальный диск стендовой ПЭВМ восстанавливается из образа (на русском языке эту идею озвучил Яковлев А.Н.).




Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 28 Февраля 2005, 14:13:52
в) для загрузки стендового компьютера используется образ записанный на CDR ( (с) не мой, по этому принципу построены разнообразные системы на основе Linux и BSD, очевидно возможно создание DOS систем, и с некоторыми оговорками Windows).

ЗЫ. Все-таки некоторые средства контроля целостности образа и его аутотентичности после создания и обновления предусматривать крайне желательно, IMHO. Соглашусь, что это могут быть не только антивирусные средства.


Название: Пункт 2 - беспорно
Отправлено: Grad от 28 Февраля 2005, 14:24:50
4 и 5 - факультативно, т.к. это не тема открытого судебного заседания. И на вопрос обеспечены ли условия для проведения экспертиз ответ будет ДА, а какие - извините зачем вам это?

Но помоему забыто самое главное - компетентность эксперта. Ну не обладают наши органы компетентными людьми, а платить денег нет обычно.  


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 28 Февраля 2005, 19:05:33
А как, на Ваш взгляд, можно определить компетентен ли эксперт или нет?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 28 Февраля 2005, 19:10:07
Что-то автор темы помалкивает.
Меня терзают смутные сомнения.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: ezhfan от 28 Февраля 2005, 19:26:40
Цитировать
А как, на Ваш взгляд, можно определить компетентен ли эксперт или нет?
Если эксперт умеет играть в quake 1, значит, он компетентен.

/ Сколько раз сталкивался - берешь на работу сисадмина, если он играл/играет в quake 1 - он компетентен в вопросах администрирования.  ;D


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: CyberCop от 28 Февраля 2005, 22:31:48
Что-то автор темы помалкивает.
Меня терзают смутные сомнения.

Чтобы Вас не терзали смутные сомнения - вопрос в лоб:
Так значит можно производить СКТЭ на нелицензированном ПО? :o


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 28 Февраля 2005, 23:58:44
Так значит можно производить СКТЭ на нелицензированном ПО? :o

Хотя вопрос и не мне, выскажу пару соображений.
Думаю, что нет.
1) Как правильно отметил Игорь Юрьевич, принципиальная задача для эксперта или специалиста в суде - выражаясь доступным для понимания судьи языком, убедить его в правоте сделанных выводов. Иными словами, поскольку надеяться на то, что суд сможет досконально разобраться в технических деталях - чистой воды утопия, надо суметь заставить суд поверить. Вопрос доверия в немалой степени зависит от репутации, использование нелицензионного ПО в этом случае вряд ли сыграет в плюс.
2) Использование нелицензионного ПО позволяет поставить под сомнение, что ПО функционирует в штатном режиме, а полученные результаты достоверны. Эксперту придется доказывать обратное, что в принципе, наверное, возможно, но не думаю, что это простая задача.
3) Применительно к гражданскому, арбитражному или административному производству закон прямо устанавливает, что доказательства, полученные с нарушением закона, являются недопустимыми. Использование нелицензионного ПО - нарушение закона.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 01 Марта 2005, 21:39:06

Чтобы Вас не терзали смутные сомнения - вопрос в лоб:
Так значит можно производить СКТЭ на нелицензированном ПО? :o

Сертифицированным на что и кем  ???

Уточните пожалуйста ;D
( с сылочками на законодательные акты, желательно, что и кем должно сертифицироваться).


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Игорь Собецкий от 02 Марта 2005, 17:34:31
Был тут интересный случай. Уголовное дело в регионе России еще в суд не направлено, однако меня в качестве специалиста допросил следователь. Основание - ходатайство адвоката. В ходатайстве указывалось как раз то обстоятельство, что эксперт пользовался, вероятно, нелицензионным ПО и не проверял свой компьютер на вирусы. Между тем он просто подключал к своему компьютеру SCSI-диск в режиме read-only.
   Я с чистым сердцем заявил следователю, что лицензионность ПО на достоверность результатов данной экспертизы никакого влияния не оказывает. По поводу вирусов - то же самое. После чего следователь заявил, что этот протокол допроса спасет адвоката от последствий насморка.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: CyberCop от 02 Марта 2005, 18:45:22

Так значит можно производить СКТЭ на нелицензированном ПО? :o

Сертифицированным на что и кем  ???

Уточните пожалуйста ;D
( с сылочками на законодательные акты, желательно, что и кем должно сертифицироваться).

Лицензирование и Сертификация ПО (по РД Гостехкомиссии) - это разные понятия! 8)

Будьте, пожалуйста, повнимательнее: Я в своем сообщении вел речь о первом!  ;)


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 02 Марта 2005, 19:36:09
На самом деле проблема не в лицензировании ПО (ведь если его приобрели официально - проблем не должно возникнуть).

Или я не прав?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 02 Марта 2005, 21:43:15
Я с чистым сердцем заявил следователю, что лицензионность ПО на достоверность результатов данной экспертизы никакого влияния не оказывает.
Ну не знаю, я бы такое заявить не смог, уж точно не с чистым сердцем. Криво поломанных программ великое множество. Конечно, ошибки возможны и в лицензионном софте. Отличие же заключается в том, что лицензионный софт худо-бедно тестировался, нелицензионный же нет, а полного понимания того, что и как в нем было защищено и поломано, увы нет и быть не может без специального исследования. К мнению технического специалиста следователь, его воля, прислушается, адвокат же может к суду запастись документально оформленным мнением производителя софта и боюсь, оно окажется несколько иным. Кому в итоге поверит суд? Не знаю, увы, всяко может быть.
Цитировать
По поводу вирусов - то же самое.
Вот именно, тоже самое. Read-only режим скорее всего обеспечит защиту вещественного доказательства от деструктивных воздействий вируса и, слава богу, его можно будет подвергнуть повторной экспертизе, откуда однако у вас уверенность, что используемый софт способен штатно работать в условиях, когда в памяти находится резидентный вирус, перехватывающий на себя обращения к функциям ОС и модифицирующий передаваемую между процессами информацию, мне не ясно. Тем более, когда вирус написан криво и имеет массу побочных и далеко не очевидных эффектов. Допускаю, что действительно может и не повлиять, но уверенно утверждать, что такое будет всегда, не возьмусь.
А главное, я не понимаю, для чего брать на себя весь этот риск осложнений. Большинство экспертных задач решаются с помощью свободно распространяемых средств. Если знаешь, чего и где искать, это занимает не сильно много времени. А уж как эксперт готовился к проведению экспертизы, и почему ему так в жизни везет, что искомый пароль оказался пятым по списку словом в словаре - это за рамками судебного исследования.
Кстати по рассматриваемому уголовному делу потерпевший гражданский иск предъявлять не собирается? Думаю, что коллизия между мнением специалиста и нормой ГК будет судом разрешена не в пользу первого...


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Marat от 02 Марта 2005, 22:09:08
А можно ли рассматривать результаты экспертизы проведенной при помощи нелицензионного ПО,как полученные незаконным путем?  ;D


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 02 Марта 2005, 23:37:30
А можно ли рассматривать результаты экспертизы проведенной при помощи нелицензионного ПО,как полученные незаконным путем?  ;D

Там дословно формулировочка иная немного

Доказательства, полученные с нарушением закона, не имеют юридической силы и не могут быть положены в основу решения суда


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 03 Марта 2005, 05:56:24
Read-only режим скорее всего обеспечит защиту вещественного доказательства от деструктивных воздействий вируса и, слава богу, его можно будет подвергнуть повторной экспертизе, откуда однако у вас уверенность, что используемый софт способен штатно работать в условиях, когда в памяти находится резидентный вирус, перехватывающий на себя обращения к функциям ОС и модифицирующий передаваемую между процессами информацию, мне не ясно. Тем более, когда вирус написан криво и имеет массу побочных и далеко не очевидных эффектов.

Здравая мысль. Придется включить в комплект программных инструментов какой-нибудь продвинутый таск-менеджер (чтобы потом в суде доказать, что на стенде посторонние процессы самостоятельно не запускались).

На сколько я помню: Filemon - умеет вести логи запускаемых на компьютере процессов. Может его попробовать. Какие будут мысли?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: korsar от 03 Марта 2005, 06:46:22
Прочитав все  сообщения, я так и не понял главного:
Если я провожу экспертизу техники (носителей, например), то я же и могу изменить там любую инормацию и ни какие режимы ReadOnly и файломониторы не помогут. Единственое, что может помочь ИМХО, так это проставление ЭЦП под выгруженной в файл информацией с носителя. (А вот как это выгружать уже отдельная тема). Это по крайней мере не позволит на эталонной копии изменить ни одного бита.
Другой вопрос, что перед изьятием СВТ злоумышленник может произвести грамотные деструктивные действия (если это не "чайник"), да еще и с применением техсредств, (например "Устройство для хранения и быстрого стирания записи на работающих жестких дисках в RAID массивах
Стек-НСА2.4км,  комплекс для хранения и быстрого стирания записи на работающем жестком диске ПЭВМ (для монтажа в корпус ATX) ЦУНАМИ ATX-1) или  ПО, которое при определнном действии (бездействии) выполнит автоматическое стирание или замену всех незаконных действий в ПЭВМ.
В этом случае эксперт вообще ничего не найдет или найдет "оправдательную информацию.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 03 Марта 2005, 10:27:49
На сколько я помню: Filemon - умеет вести логи запускаемых на компьютере процессов.

Я не уверен есть ли необходимость вести постоянно логи запущенных процессов, но составить какой-нибудь Акт приемки рабочего образа диска стендового компьютера, возможно следует, при этом его стоит проверить на наличие вирусов, прочих неполезных программ, после чего захашить и положить в надежное место, откуда и извлекать по мере необходимости, восстанавливать и составлять Акт или иным образом документально отражать соответствие восстановленного оригиналу. Запускать на стендовом компьютере что-нибудь постороннее, окромя того, что есть в рабочем образе, в любом случае неправильно, для этого должен быть отдельный тестовый компьютер.
У тех же sysinternals есть замечательный Process Explorer (логи по-моемуне ведет). Относительно недавно появилась интересная программа Rootkit Revealer.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 03 Марта 2005, 10:33:22
В этом случае эксперт вообще ничего не найдет или найдет "оправдательную информацию.
Пусть я и чайник в некоторых вопросах, но знаю, что на "дело" надо выходить в перчатках, бокалы протирать, и т.д., а вот удивительное дело, и у дактилоскопистов работы по-прежнему хватает, и преступников с помощью дактилоскопии выявляют...


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Николай Николаевич Федотов от 03 Марта 2005, 11:11:05
Криво поломанных программ великое множество. Конечно, ошибки возможны и в лицензионном софте. Отличие же заключается в том, что лицензионный софт худо-бедно тестировался, нелицензионный же нет, а полного понимания того, что и как в нем было защищено и поломано, увы нет и быть не может без специального исследования.

А отчего достопочтенный Дмитрий ставит знак равенства между нелицензионным софтом и ломаным?

Более того, адвокат, желающий усомнить суд в корректности работы софта эксперта, может представить текст лицензионного соглашения, в котором производитель категорически отказывается гарантировать отсутствие ошибок. Такая "справка о заведомой глючности" имеется только у лицензионных программ.  ;)


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: korsar от 03 Марта 2005, 11:43:35
))))) Ну так кого хватают? Кто следы оставил, а кто не оставил, того и не схватят (тем более обьяснять, как обстоят дела в МВД с внедрением АДИС, как понимаю вам не нужно.)
В настоящее время (ИМХО) в основном все дела, может за редким исключением, заводятся на "мальчиков", знающими основы ITтехнологий и научившимися пользоваться парой утилит, которые на суде в основном сопли размазывают (пусть К-шники МВД-шные меня опровергнут). Здесь же, как понимаю идет обсуждение  универсальных методов, пригодных ко всем злодеям.
Что же касается экспертизы в чистом виде, то если отбросить фактор умышленного изменения экспертом данных, проблемы особой не вижу. Естественно запуск исполняемых модулей должен проводиться не на стендовой машине. А в остальном чего бояться? Если вы работаете на "чистой" ПМ, естественно с лицензионным ПО (хотя здесь ИМХО, вопрос чисто о нарушении закона с вашей стороны, чем отличается ,например , ворованный AVP или DRWEB от неворованнного - да ничем), то присоединение к ней жесткого диска ничего не активирует, исполнимые модули сами с винтов не запускаются. А подозрительный модуль я отладчиком разворочаю. другой вопрос, что по всему файлу отладчиком не пройдешься - на пенсию быстрее уйдешь. Поэтому стоит вопрос - что собственно искать на данном компе нужно - программные закладки, вирусы, следы деструктивных действий злоумышленника в ИНЕте или внутр сети и т.п.
Вопрос о сертификации мне непонятен, может только  в том смысле, что АРМ  эксперта должно быть аттестовано по определенному классу защищенности(ну хотя бы по 7 для СВТ и 3А,3Б для АС). А где взять сертифицированную ОС?
Я думаю здесь это лишнее - здесь же не анализ  компьютера американского шпиона проводится. (кстати кто из наших антивирусников какие либо сертификаты имеет, в смысле по ловли вирусов - на семинарах, на которых приходилось бывать, ни Касперский ,ни Данилов вразумительно ничего не ответили).


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 03 Марта 2005, 12:26:35
Прочитав все  сообщения, я так и не понял главного:
Если я провожу экспертизу техники (носителей, например), то я же и могу изменить там любую инормацию и ни какие режимы ReadOnly и файломониторы не помогут.

Если Вы проводите экспертизу, то зачем Вам там что-то менять  ???


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 03 Марта 2005, 12:30:27
В настоящее время (ИМХО) в основном все дела, может за редким исключением, заводятся на "мальчиков", знающими основы ITтехнологий и научившимися пользоваться парой утилит, которые на суде в основном сопли размазывают...

Уважаемый, Вы плохо информированы - зайдите , например, на сайт ФСБ. Поройтесь там в разделе "Розыск".


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dimon от 03 Марта 2005, 13:18:57
===
Акт приемки рабочего образа диска стендового компьютера, возможно следует, при этом его стоит проверить на наличие вирусов, прочих неполезных программ, после чего захашить и положить в надежное место, откуда и извлекать по мере необходимости, восстанавливать и составлять Акт или иным образом документально отражать соответствие восстановленного оригиналу.
===

Интересно, чем будет проверяться система на наличие вирусов и других неполезных программ.

Недавний пример. На мой e-mail на yahoo мне приходит письмо (сваливается в спам-папку). Я его даже думал здесь в раздел о попрошайничестве опубликовать, если бы было больше своб. времени. Но все-равно для проф. интереса решил ознакомиться "поближе". В письме есть аттач. Антивирус Yahoo ничего не показывает (вроде у них MacCafee стоит). Ну, подумав о том, что "все это неспроста" и что еще изобрели "эти деятели", кидаю форвард на другой ящик, который на Yandex. С Yandex приходит отлуп от DrWeb о том, что в аттаче содержится вирус и доставка письма невозможна...

При этом я могу вспомнить случаи, когда yandex(DrWeb) не видел вирусов в письмах, но его видел yahoo (MacCafee). Вирусы также могут видеть оба антивируса, могут не видеть оба антивируса. При этом они считаются достаточно качественными и надежными.


Думаю, что если не все, то очень многие здесь хоть раз в жизни пробовали проверять свой компьютер несколькими разными антивирусами и, несмотря на свежесть всех антивирусных баз, получали разные результаты...

К тому же по поводу самих антивирусов может быть очень много вопросов. Более того, есть такие антивирусы, которые лично я "боялся" ставить себе на компьютер и уж тем более пользоваться их результатами "от греха подальше"- например, когда предлагалось "вылечить" или удалить тот или иной файл.

Думаю, что, в любом случае, заключение эксперта, как и решение судьи, - субъективно. Но это совсем не означает, что оно должно быть неправильным. Думаю, что важна совокупность показаний, по которым можно определить истину.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: korsar от 03 Марта 2005, 14:29:27
To Михайлов Игорь Юрьевич
1. По теме "зачем что-то менять" может я не понял сути. Я посчитал ,что речь идет о сохранении "оригинальности" оригнала изьятого носителя информации. Поэтому и предложил один из методов "контроля" эксперта.

2. Зачем мне на сайт заходить? Там , что количественные оценки приведены? что крупняк ловят это действительно есть, но скоько это "будет в граммах". Я еще  год назад был одним из руководителей регионального ИЦ, если вы знаете это по сути фед.центр учета преступлений. Производится анализ всех зарегистрированных УД, переданных в суд с обратной связью. В то время по региону серьезных хакеров мизер был, да и сдругими регионами сталкивался. Поэтому процент "грамотных"  комп злодеев хоть и растет, но незначительно, в общей массе их мизер. И связано это ИМХО, прежде всего с тем, что собрать доказателную базу на профессионала очень сложно, проще "палку" заработать на "ламере". Тем более проф  состав у всех силовиков оставляет желать лучшего (в связи с ЗП и т.п.). У меня, например, целыми отделами уходили во всякие энерго, связи и т.п. на З.П. в 3-4 раза большую.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Marat от 03 Марта 2005, 16:05:27
Об антивирусах:
Я проверяю антивирусом для того что бы файлы(зараженные вирусами и т.д) выделить из общего объема для отдельного анализа.
К примеру при отсеивании файлов по hash set(know good)
файл notepad.exe будет иметь отличный от стандартной суммы результат.Что это может значить-либо изменение файла с целью сокрытия в нем дополнительных данных либо результат заражения
вирусом.
Опять же если не проверять фалы офиса антивирусом,то при их исследовании можно получить результат далекий от объективности.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 04 Марта 2005, 10:45:47
А отчего достопочтенный Дмитрий ставит знак равенства между нелицензионным софтом и ломаным?

Э-э... Хмм... Не знаю. Наверное стереотип, основанный на относительной распространенности именно этого типа нелицензионного софта. Вы правы. Если производитель не защищал свой софт вообще никак, возможно появление нелицензионной копии ничем не отличающейся от лицензионной. Возможно, есть и какие-то другие варианты. Да, в этом случае оспорить техническую часть будет сложно, но, во-первых, остаются еще и другие соображения, которые я высказывал уже. Да и в принципе, наверное, это не очень правильно, когда торжество закона обеспечивается методами, нарушающими закон.
Цитировать
Более того, адвокат, желающий усомнить суд в корректности работы софта эксперта, может представить текст лицензионного соглашения, в котором производитель категорически отказывается гарантировать отсутствие ошибок. Такая "справка о заведомой глючности" имеется только у лицензионных программ.  ;)
Такая документально оформленная справка, в которой производитель оговаривает ограничение ответственности возможные дефекты продукта, если это допускает местное законодательство, действительно есть только у лицензионного софта, причем не только у коммерческого, но и у распространяемого бесплатно (не могу не отметить, что некоторые стандартные положения типичных лицензионных договоров меня тоже не радуют, но другие, увы, никто не предлагает почему-то). Эта практика встречается не только в области программных продуктов, но и в некоторых других. У нелицензионного продукта никаких гарантий и справок нет в принципе. Отсутствие какой-либо ответственности за сохранность данных у Гостехкомиссии даже при выполнении всех рекомендаций и требований, полагаю, все-таки не означает, что процессы лицензирования и сертификации абсолютно бесполезны и недостоверны.
Высказанные же вами ранее мысли по поводу "воли" позволяют мне предположить, что вы сами разделяете мнение, что методов обеспечения, а тем более гарантирования аюсолютной "безглючности" на данный момент не существует, и не ясно возможно ли это в принципе...

А воообще, наш разговор в этой ветке все больше и больше начинает напоминать мне старый анекдот про самое лучшее средство предохранения от беременности - презерватив, два слоя изоленты, второй презерватив, и ни в коем случае не...
Хотя и здесь, наверное, энтузиасты смогут предложить идеи, когда этот метод не приведет к желаемому результату.

Поэтому просто повторю свое мнение - 1) должен использоваться лицензионный софт 2) обязательная сертификация по крайней мере на данный момент представляется излишней, и вполне может быть заменена наличием процедуры аудита, выполняемого в том числе и самим экспертом.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Николай Николаевич Федотов от 04 Марта 2005, 11:22:51
Поэтому просто повторю свое мнение - 1) должен использоваться лицензионный софт 2) обязательная сертификация по крайней мере на данный момент представляется излишней, и вполне может быть заменена наличием процедуры аудита, выполняемого в том числе и самим экспертом.

Да, да! И ещё:

3) компьютер эксперта не должен быть краденым (вполне можно ограничиться проверкой по картотеке похищенных вещей);
4) эксперт на момент проведения экспертизы должен быть трезвым (и представить справку об освидетельствовании).  :D


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Dmitry от 04 Марта 2005, 12:48:24

Да, да! И ещё:

3) компьютер эксперта не должен быть краденым (вполне можно ограничиться проверкой по картотеке похищенных вещей);
4) эксперт на момент проведения экспертизы должен быть трезвым (и представить справку об освидетельствовании).  :D


Точно, у вас случайно судебной практики под рукой нет, показывающей как суд оценивает результаты экспертизы, выполненной экспертом в состоянии алкогольного опьянения на заведомо краденном оборудовании.  ;)


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Николай Николаевич Федотов от 04 Марта 2005, 13:30:32
Точно, у вас случайно судебной практики под рукой нет, показывающей как суд оценивает результаты экспертизы, выполненной экспертом в состоянии алкогольного опьянения на заведомо краденном оборудовании.  ;)

Вы таки будете смеяться, но... Была история, когда защитник напирал на то, что на момент проведения обыска специалист (а это, по УПК, мало отличается от эксперта) числился в розыске. Под этим предлогом он хотел "отменить" протокол обыска.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: ezhfan от 05 Марта 2005, 02:11:06
К сожалению, в одном из последних "Хакеров" была опубликована статья о том, как изменить вирус таким образом, чтобы тот не ловился антивирусами  >:(
С другой стороны, достаточно просто написать небольшой код, который позволит легко ловить "неуловимые" вирусы, приготовленные по рецепты того же "хакера", но об этом способе в "хакере" пока не пишут...  ???
Да и надо сказать, вирусы сейчас пишут не то что раньше, слабые какие-то. "Вирус" нагло устанавливается в "Program Files", прописывает себя в реестр... Легко с такими вирусами бороться и подручными средствами.

Думаю, эксперт просто не допустит появления вирусов на стендовой ЭВМ, т.к. он глубоко понимает принципы распространения вирусов.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: korsar от 05 Марта 2005, 06:08:09
Любой грамотно написанный новый вирус в процентах 80 никаким антивирусом не определится. Даже при включенных "эвристическх анализаторах", избыточных сканироваиях и т.п.  В некторых случаях его можно обнаружить при начале работы по контролю активности приложений, но эффективность этого будет зависить от грамотной настройки контролирующего ПО (как и в сетевых экранах)
А общей рекомендации как ловить "неуловимые вирусы не было и быть не может. Например, я знаю как обойти проверку AVP заархивированых файлов, но проверка McAffre
покажет заражение (для известного виря разумеется) - у нее принцип определения архива иной и т.п. Стандартное определения вируса производится по анализу сигнатур (в принципе даже для определения полиморфных вирусов), а все остальные прибамбасы - для проф-в ,четко представляющих что будет стоять за фразой типа "файл ХХХХ возможно инфицирован вирусом YYY"
Не хочу обижать экспертов, но лично я видел очень редко специалиста хорошо представляющего себе как может отработать вирус (да это не только экспертов касается), чтобы это четко понимать надо самому с отладчиком постояно работать,  представлять как работают современые технологии, причем на самом низком уровне - железа, следить за новостями в "хакерских" кругах и т.п.
"Стоимость" такого спеца у нас в регионе не менее 1,5 -2 тысяч $. Например, служа в МВД я не мог долго удерживать выросшего до этой квалификации спеца, сейчас работая в "финансово-помышленной " организации могу, да и то их очень ограниченное количество - чтобы достичь этого уровня надо быть "фанатом".
Что касается "чистоты" машины эксперта, то я считаю что как минимум необходимыми (но не достаточными) условиями этого должны быть
1. наличие 3-4 известных антивирусов с регулярным обновлением версий и баз
2. наличие  проверки целостности системы и применение контроля изменения файлов ( в этом случае также нужно быть спецом, чтобы определить какие файлы могут меняться и при каких случаях (реестр ,например, в Win , системные области файловой системы и т.п.)
3. наличие СЗИ типа I-key
4. четкое выполнение организационно-технических мероприятий и инструкций (запрет выхода в ИНЕТ, подключения к ЛВС, работа с "левыми " носителями и т.д. и т.п.)
PS Все написанное исключительно ИМХО


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: ezhfan от 06 Марта 2005, 00:33:07
Когда я писал о "неуловимых" вирусах, я имел в виду известные вирусы, защищенные упаковщиком с помощью метода, описанного в одном из номеров журнала "Хакер":
http://www.xakep.ru/post/13878/default.asp
А может быть, и не в одном - я их редко покупаю  ;D

Если кратко - в статье говорится об упаковке и дальнейшей модификации, такой, чтобы антивирус не смог распаковать вирус.

Под "хитрым кодом" я подразумевал, например, код, который правильно сдампит вирусный процесс из памяти и запишет его на диск. Тут-то Spider Guard его "голенького" и схватит  
 :P
Написать такой код достаточно просто, большинство известных вирусов, перепакованных по "хакерной" инструкции, таким способом поймать можно.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: korsar от 09 Марта 2005, 08:54:57
Да я это понял. Но в данном случае это к AVP относится, не   все тоьлко  им пользуются ( я кстати про это и писал)
Не понял, что вы имели в виду под
....Под "хитрым кодом" я подразумевал, например, код, который правильно сдампит вирусный процесс из памяти и запишет его на диск..... - , видимо по сути это заплатка на AVP? Так пусть ее господин Касперский пишет, мы же не пишем патчи Гейтсу)))))
а "обход" Каспера упаковщиком это один из "эксплойтов", в принципе у него  и иные баги найти можно ,я думаю.
(например уже появились сообщения как отключать монитор на версии 5.157). Но это только AVP, а у меня, например Симантек)))) и т.д. И все это относится к тем ,кто известные (по крайней мере AVP) вирусы "впихнуть" вам собирается
А уж если я пишу виря, то захочу,чтобы его почти никто из антивирусников не увидел)))). Поэтому не буду использовать тела известных вирусов и т.п.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: ezhfan от 09 Марта 2005, 18:00:18
Я пользуюсь DrWeb, но не в этом суть. Если дампить процесс из памяти на диск, то, как правило, он дампится в распакованном виде. Если антивирус мониторит запись на диск, то уж запись распакованного вируса он отловит, причем неважно, чем тот был запакован.
Думаю, монитор, который сканировал бы память каждого процесса, должен сильно тормозить, так что возможность его постоянного использования я отбрасываю - речь шла о подкотовке машины для проведения экспертизы.
Новый вирус определяется мной намного проще:
1) Упакован ли файл, если упакован, то возможно вирус.
2) Если был упакован, распаковываем, смотрим дальше.
3) Какие API использует данная программа? Зачем безобидному ускорителю интернета функция CreateRemoteThread? :)
4) Если сомнения остаются, загружаем распакованный код в IDA и изучаем его на предмет того, что он делает.
5) Если вирус, пакуем его zip-ом с паролем и шлем это счастье через WEB-интерфейс на http://www.dialognauka.ru
Они добавляют вирус  в базу в этот же день, обновляем базу и ЛЕЧИМ :)


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: korsar от 10 Марта 2005, 05:49:41
Понятно. Действительно, когда сканер того же DRWEb сканит память - занятие долгое, а если еще и в реальном времени. Однако все же думаю, не все новые вирусы по анализу используемых API  функций опр-ть можно. Да собствено суть не в этом - вы что, со всеми упакованными файлами такие опрерации проделываете? А зачем, если я написал новый вирус, его вообще паковать?(речь-то шла как я понимаю, об "обходе" антивирусных ПО известными вирями при их упаковке). А анализ каждого файла вряд ли провести возможно, ну конечно, когда есть подозрение на конкретный файл, его можно и отладчиком посмотреть и потом антивирусникам отправить.
Вообще пишу это не ради спора, интересно как эксперты работают в этом направлении. Мы не проводим экпертиз официальных, однако по работе бывает необходимость провести исследования некоторых машин, в основном на предмет несанкционированного ПО,   предназначенного для различных деструктивных или "шпионских" целей.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: ezhfan от 11 Марта 2005, 02:58:10
На самом деле я не эксперт в этом вопросе, но часто возникает необходимость проверить тот или иной файл.
Причем на машине антивирусов не установлено - смысла не вижу. Подозрительный файл проверяю online-проверкой, далее, если "известных вирусов не обнаружено", распаковываю его, загружаю в IDA, иду пить чай :)
Конечно, метод не стопроцентный, но достаточно эффективный.

P.S.: один раз чуть с ума не сошел - в системе прячется какой-то процесс, причем кривовато так прячется, по Рихтеру :)
Думаю - всё, вирус или троян. Гружу softice - паника! На точке входа каждого приложения срабатывает какой-то код, причем хорошо так препятствует отладке... Ну точно - тушите свет, сливайте масло - ТРОЯН! Только непонятно, какой.
И тут меня осенило - я же решил попробовать одну СКЗИ, не буду говорить, какую... Удалил - всё стало на свои места, код не грузится, NtQuerySystemInformation никто больше не перехватывает, task manager не падает...


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: AlexSan от 14 Марта 2005, 16:29:43
Судебная практика по делам о компьютерных преступлениях показывает, что в ходе судебного заседания сторонам бывает очень легко исключить из списка доказательств виновности (невиновности) подсудимого Заключение эксперта, производившего компьютерно-техническую экспертизу, если выясняются следующие обстоятельства ее производства:
 
1. Экспертиза проводились на несертифицированном компьютерном оборудовании - не имеющем сертификата соответствия Требованиям и рекомендациям по безопасности информации Гостехкомиссии России. Эти сертификаты выдаются по итогам аттестации (проведения специальных исследований) объектов информатизации и (или) технических средств обработки информации Спеццентрами Гостехкомиссии России или уполномоченными ими негосударственными предприятиями и организациями.

А вот всё-таки - нужна такая сертификация или нет? Особенно применительно к гражданскому процессу?
И как насчет остальных требований - в гражданском процессе они обязательны?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: korsar от 15 Марта 2005, 05:15:52
Мне тоже это интересно. Сертификация и аттестация вещи в принципе разные. Аттестовать вы можете СВТ, помещение, АИС., по какому-то классу защищенности. Но для этого в процессе аттестации вы должны присвоить класс - это заувисит от того какая информация  обрабатывается в системе (К, С,СС ,ОВ) и мне кажется ,что техника эксперта здесь не при чем. А вот на что должен быть сертифицирована ПЭВМ эксперта(кстати только СВТ или еще ОС и прикладное ПО?) - не знаю, в сертификациях не силен. Ну например, средства шифрования должны сейчас сертифицироваться ФСБ, пожарно-охранные системы - МВД, а техника для проведения экспертиз -?, да и относится ли ПЭВМ+система к этой категории?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: AlexSan от 15 Марта 2005, 13:16:00
Что-то молчат все...
Кстати, а где эти Требования Гостехкомиссии можно посмотреть? Или это закрытая информация?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 08 Апреля 2005, 09:13:42
CyberCop, мы ждем ответа на заданые вопросы. Почему молчите?


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Александр Никитин от 09 Апреля 2005, 05:09:32
День добрый. Не удержался ..

Если уж зашла речь о "чистоте" экспертной машины - долгие диспуты на тему "гы .. защищусь от вируса запросто ..или не запросто" бессмысленны.

На спор .. хотя, пожалуй нет, не на спор, а за умеренную сумму выгребу с вашей машины все что понадобится и следов вы гарантированно не найдете. Дайте только доступ, минуты на две .. Никакими антивирусами и пр. не отловите. Более того .. дайте доступ к ВЫКЛЮЧЕННОЙ машине.

Посему, рассчитывать на вынужденность борьбы с обычными троянами и пр. уже давно не приходится. Поверьте.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 09 Апреля 2005, 05:48:02
Мне вот интересно. Кто-нибудь из спорящих (кроме меня) читал, например,  ГОСТ Р 51188-98 "Испытания программных средств на наличие компьютерных вирусов"  ???


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: korsar от 11 Апреля 2005, 08:11:53
Александр Никитин

Очень самоуверенное заключение! Про вирусы не говорю.
Вы хоть представляете какие способы защиты от "выкачивания" существуют? Например:
ЦУНАМИ ATX-1 Комплекс для хранения и быстрого стирания записи на работающем жестком диске ПЭВМ (для монтажа в корпус ATX) и куча других - работают даже по каналам GSM,  по открываню корпуса, по включению и т.д.
Да и куча других - подобных. Про криптование я и не говорю уже. Было бы желение и средства защищаться

А про вирусы речь шла именно в контексте о вирусах и программных закладах. А потом нормально защищаемый комп, даже по категории "К" в коридоре ,наверное, стоять не будет. Так,что вопрос "дайте доступ" может оказаться решающим.


Автор: Михайлов Игорь Юрьевич
Про ГОСТ очень полезная информация, честно говоря не читал, спасибо.




Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Игорь Собецкий от 11 Апреля 2005, 16:18:43
Кстати, а где эти Требования Гостехкомиссии можно посмотреть? Или это закрытая информация?
  Требования бывшей Гостехкомиссии, а ныне, увы, всего лишь, Федеральной службы по техническому и экспертному контролю можно посмотреть на их официальном сайте - http://www.fstec.ru/ (http://www.fstec.ru/). Как говорится, просим любить и жаловать  :)
   Другое дело, что сертификация рабочего места эксперта по какому бы то ни было классу защиты не является обязательным для обеспечения доказательственного значения заключения экспертизы. Это требование, как говорится, отмазка обыкновенная, из рода отговорок.  Чтобы разбить заключение эксперта надо доказать не принципиальную возможность несанкционированного доступа, а факт совершения такого доступа.


Название: Re:Как разбить в суде Заключение эксперта...
Отправлено: Igor Michailov от 17 Апреля 2005, 06:40:35
Чтобы разбить заключение эксперта надо доказать не принципиальную возможность несанкционированного доступа, а факт совершения такого доступа.
А что доказывает факт включения исследуемого компьютера относительно документов обнаруженных  на нем? На мой взгляд ничего. Ведь надо доказать, что обнаруженные документы были сфальсифицированы или я не прав?

А если следователь в постановлении напишет "разрешаю частичное повреждение и изменение информации на исследуемом НЖМД в ходе исследования"
Будет ли считаться включение исследуемого компьютера несанкционированным доступом (доступ нам санкционировал следователь-все законно)? ;D