и изменение хотя бы одного бита повлечет за собой потерю доказательного значения информации, так как нет гарантии, что он изменился один...
Зависит от очень многих обстоятельств, и сформулированный в таком общем виде вывод, мне представляется, неверен. Во-первых, в других отраслях криминалистики известны методы исследования, приводящие к разрушению или изменению свойств исследуемого образца. Если вы уже упомянули про трупы, то не можете не знать, что упомянутое вами исследование обывателю известно под названием вскрытие, и, хотя не знаю, есть ли среди участников форума паталогоанатомы или хотя бы медики, думаю все прекрасно понимают, что объект исследования в ходе этого исследования подвергается необратимым изменениям. Есть великое множество криминалистических медов исследования, приводящих к подобным же последствиям для исследуемых образцов, тем не менее, эти методы с успехом применяются на практике.
Во-вторых, если вернуться к исследованию компьютерной техники и информации, то тут как и в других отраслях, эксперт первым делом должен абсолютно точно и четко представлять себе все последствия проводимых им действий, причем результаты не только прямые, но и различные побочные эффекты. Разрушающие методы исследования могут применяться точно также как и везде и должны быть надлежащим образом оформлены. Изменение одного бита информации, отнюдь не приводит к потере доказательственного значения всего исследуемого образца, если это изменение ожидаемо в результате используемых методов и надлежащим образом задокументировано. Некоторая начальная информацию по таким методам исследований, кстати, представлена в переводной статье на сайте у Игоря Юрьевича.
если вы упаковали след пальца руки, опечатали его заверили это штампом и подписями понятых - это понятно, а как сделать то же самое с информацией... тут и приходит нам на помощь цифровая подпись, контрольная сумма, хеш, да как угодно назовите смысл один...
Упаковав, опечатав, заверив и описав должным образом не след пальца, а любой изымаемый объект - будь то системный блок, диск, распечатка и т.д. и т.п. - вы достигаете точно такого же результата. И пока он находится в запечатанном состоянии, в ненарушенной упаковке, с должным образом оформленной документацией, содержащей сведения о всех действиях с образцом с момента изъятия - нет никаких проблем с использованием его в качестве доказательства. Вопрос с хэшированием более уместен на этапе экспертного исследования и должен стоять вторым пунктом (после внешнего осмотра и описания полученного объекта) в программе экспертных исследований. Понятно, что для того, чтобы образец и результаты исследований могли быть представлены в суд и признаны в качестве доказательства по делу, все действия эксперта также должны надлежащим образом документироваться. Продвигаемая вами концепция ущербна, так как предугадать с чем придется иметь дело специалисту в полевых условия не всегда возможно, и у него банально может не оказаться технических средств для осуществления предлагаемой вами процедуры изъятия. Более того, компьютерная техника не ограничивается существованием персональных компьютеров на платформе Intel и в некоторых случаях в принципе не существует приемлемых методов и средств для выполнения такой процедуры в полевых условиях. Попробуйте, к примеру, представить, что вам предстоит изъять установленный в офисе супостата роутер, хранящий в своей энергонезависимой памяти логи, могущие иметь доказательственное значение. Вы знаете как осуществить хотя бы изъятие этих логов неразрушающим способом, не говоря уж про вычисление контрольной суммы содержимого впаянного в плату чипа памяти? Я нет, буду счастлив научиться.
так вот в моей практике есть пока только один прецедент, когда в суде встал вопрос о контрольной сумме содержимого жесткого диска и неизменности информации... но уже встал...
Поднимаемая с завидным упорством многими проблема легкой изменчивости компьтерной информации, а точнее предлагаемая интерпретация этого факта, сродни, на мой взгляд, известному анекдоту:
Мужику предъявляют обвинение в самогоноварении. Он вопрошает на суде:
- Я ж не варил! За что?
- У вас ведь нашли аппарат!
- Тогда судите и за изнасилование!
- Вы кого-нибудь изнасиловали?
- Нет, но "аппарат" есть! Между "могла быть изменена" и "была изменена" есть определенная разница. Первое утверждение не влечет за собой практически никаких последствий, второе же необходимо доказывать, и делать это, по всей видимости, придется именно стороне, выдвигающей это утверждение. Не стоит думать, что мы "впереди планеты всей". В тех же США подобные судебные прецеденты уже имеются.
