Форум ''Интернет и Право''
06 Апрель 2020, 15:54:58 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 ... 3 4 [5] 6 7 ... 9   Вниз
  Печать  
Автор Тема: Как отбиться от ч1.ст. 272 и ч1.ст.165 УК  (Прочитано 35866 раз)
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #40 : 13 Май 2005, 22:29:37 »

Насколько я понимаю, для того чтобы в заключении эксперта  сказать, что на компьютере имеется программа SMAC  надо, как минимум, побитово сравнить файлы найденной программы с файлами лицензионного ПО (не путать с инсталяционным пакетом), как правило,  предоставленного следователем.

Если ЭТО выглядит как собака, лает как собака и кусается как собака, значит ЭТО и есть собака. Без побитного сравнения. Не будьте максималистом!

Кстати, не перестаёт меня удивлять ваша Виндоуз. Для такой элементарщины как смена МАК-адреса аж целая специальная программа написана. В любом, самом древнем Юниксе - одной штатной командой.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #41 : 14 Май 2005, 05:30:50 »

Если ЭТО выглядит как собака, лает как собака и кусается как собака, значит ЭТО и есть собака. Без побитного сравнения. Не будьте максималистом!
Может не самый удачный пример - шакал (и выглядит и лает как собака, НО, не собака). Тем более, что Вы немного обобщили - собаки бывают разных пород. Знаете ли если (не дай Бог конечно) кого-то укусят пекинес и бульдог - болевые ощущения будут не одни и теже.

Кстати, не перестаёт меня удивлять ваша Виндоуз. Для такой элементарщины как смена МАК-адреса аж целая специальная программа написана. В любом, самом древнем Юниксе - одной штатной командой.

МОЯ Виндовс!!! Где тогда мои миллиарды Непонимающий
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #42 : 14 Май 2005, 05:50:39 »

Николай Николаевич, Ваше мнение начет удостоверения подлинности логов все-еще продолжает интересовать.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
zampolit
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 27


С любовью к ближнему


« Ответ #43 : 14 Май 2005, 07:31:18 »

Огромное спасибо Николаю Николаевичу.
Честное слово - пока читал анализ, почувтсвовал себя в зале суда при зачитывании приговора!!!

Прошу не забрасывать помидорами... но кто такой "ААА-сервер"?

А теперь подолью масла в огонь.

1. Эксперт утверждает, что радиокарта в исправном состоянии. Как он это определил??
2. (Самый секс  Подмигивающий ) Переданный компьютер находился ФАКТИЧЕСКИ в неработоспособном состоянии!!!!!
 Поясняю:
 Не задолго (в пределах недели) до изъятия  я приобрел (точнее апгрейдил старую видяху) видеокарту Radeon 9800SE от  Sapphire. По своему недосмотру упустил один пустячок - разъем доп. питания на видеокарте аналогичен разъему питания на 3.5"флоповоде, а на хвостах блока питания такой разъем ОДИН! Можно было перекинуть, но... мне (а точнее моей жене) необходим для работы флоповод. Решил, не мудрствуя лукаво, сделать еще один хвост с таким разъемом... но - не успел. Хвост нашел у знакомых в компьютерной фирме (обстригли с дохлого БП), а подпаять- руки не дошли - так и валяется дома. Короче - когда комп изъяли - работал он только так: включается, и на мониторе в рамке на красном фоне надпысь, мол, "к видеокарте не подключено дополнительное питание - работать не буду! Баста!" (ЕМНИМС - именно так - всего раз видел, включив комп в надежде, что доп. питание нужно только в играх при работе видемокарточки как видемоускорителя).
3. Провайдер говорит, что после изъятия у меня компьютера (21/12/2004) доступ под моим логином прекратился. НО.... провайдер сам же указывает, что с 21/12/2004 года я был ОТКЛЮЧЕН от сети. Эти седения зафиксированы в протоколах допросов. (Даже если опустить факт превращения даты моего отключения от сети проваедром с 16/12 на 21/12)
 КАКИМ ОБРАЗОМ МОЖНО БЫЛО ОТСЛЕДИТЬ (И ОЖИДАТЬ) ВЫХОД ПОЛЬЗОВАТЕЛЯ В СЕТЬ, ЕСЛИ ОН СОЗНАТЕЛЬНО ОТКЛЮЧЕН ОТ ЭТОЙ СЕТИ (ЗАБЛОКИРОВАНА УЧЕТНАЯ
ЗАПИСЬ)НепонимающийНепонимающийНепонимающий?

4. Меня несколько раз отрезала от сети служба тех. поддержки провайдера. На мои вопросы говорили: "От вас идет большой траффик (исходящий). Возможны вирусы". При проверки всего компа я находил (иногда) вирусягу, типа "Exploit.Byte" (Dr.Web), сообщал провайдеру "ужо чисто", после чего получал подключение. Может этим исходящим траффиком объясняется бесследное исчезновение закаченных 5 Гигабайт??
5. Может я лунатил по ночам и сам менял IP и MAC адреса, переименовывал компьютер, а днем этим баловался от безделия? Не знаю, но человек иногда должен еще и спать - по логам этого не скажешь. (если кто-то засиживался за компом по ночам - знает - какие потом "романтичные" отношения с членами семьи - я это уже давно усвоил: 23-00 - и баиньки!)

ЗЫЖ учитывая все вышесказанное, а так же тот факт, что следователь (с ее слов в присутствии моего адвоката) проболталась (точнее я ее к этому подвел Смеющийся ) ) о договоренности между ней и провайдером об установке персонального радиокомплекта домой за 6500 р. (официальная установка - 21500 р.), напрашивается .... а не иудомассонский ли это заговор?Непонимающий??
Всем им хорошо: отдел "К" и ОВД района ставят жирные галки - раскрываемость (да плюс еще какого супер-пупер высокотехнологичного преступления!!!!) растет, все начинают стряпать свои методики по раскрытию подобных "преступлений", провайдер ставит следователю радиокомплект, не теряя ни копейки (6500 платит следователь + 15000 "возмещаю ущерб" я - итого 21500 - интересная арифметика!) и всем грозит пальчиком - поймали гада, чтоб другим не повадно было, эксперт - тоже крупным спецом считаться будет.
..... А траффик все-равно воруют....
Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #44 : 14 Май 2005, 09:19:33 »

Игорь Юрьевич,

Метод прямого сравнения с эталоном, как и любой другой метод, имеет свои достоинства и недостатки. Следователь, прикладывающий никем не калиброванную линейку, купленную в ближайшем магазине канцтоваров, тем не менее с уверенностью пишет в протоколе, что изъят системный блок размером 10х20х40 см, и не проводя спектрального и химического анализа, добавляет, что на передней панели имеется надпись, выполненная красителем красного цвета. И в подавляющем большинстве случаев будет прав, даже не смотря на отсутствие специальных познаний в области метрологии, химии и спектрального анализа. И что ж теперь адвокатам со стороны защиты на этом основании требовать исключения доказательств, а следователям назначать экспертизу каждый раз, когда их рука тянется к линейке? Другое дело конечно, когда по обстоятельствам дела значение могут иметь доли миллиметра, а следователь измерял попавшейся под руку строительной рулеткой с дюймовыми делениями.
А почему сравнивать всегда надо с лицензионным ПО? А если в протоколе допроса прямо указано, что программа скачивалась с какого-то варезного сайта, название которого подозреваемый не помнит? Могут ведь и не совпасть файлики при побитном сравнении с лицензионным образцом. И ведь не в отдельных битах могут не совпасть, а просто совсем мимо, даже длина разная может оказаться. Представьте, что в лицензионном продукте в файле хранился код в пожатом и зашифрованном виде, а контрафакт был получен дампом расшифрованного образа из памяти. Будем делать образы из памяти и их сравнивать? А ну как в лицензионном продукте система защиты от копирования не расшифровывает весь образ в память, а делает это кусками в процессе исполнения? А представьте, что допрошенный специалист производителя, заявил, что обнаруженное ПО не является полностью идентичным ни одной из стандартных версий продукта, и скорее всего является специальной версией, разработанной для какого-либо из заказчиков по специальному договору, либо, что более вероятно, одной из рабочих/промежуточных внутренних версий, попавших к подозреваемому по всей видимости в результате утечки информации. Промежуточных версий масса, не все из них передаются в архив, и т.п. - что в этом случае предоставить эксперту для побитного сравнения и как специалист производителя без этого сравнения смог сделать вывод о том, что это тем не менее их программа?
И еще массу других вопросов и нюансов можно придумать для побитного сравнения.
Поэтому, согласен с Николаем Николаевичем - не надо быть максималистом, в том плане, что есть метод, который является единственно правильным. Панацеи не существует. Специальные знания эксперта заключаются не в умении набрать команду fc /b, а в умении определить когда это делать можно, когда необходимо, а когда и вредно (ибо приведет к заведомо противоречивым или малозначащим результатам, которые хотя и могут быть объяснены, но маловероятно, чтобы эти объяснения были поняты неспециалистами в суде) и выбрать в этом случае наиболее подходящие альтернативные методы исследования. А набирать fc /b - не велико умение, уж не сложнее, чем линейку приложить.
« Последнее редактирование: 14 Май 2005, 09:22:23 от Dmitry » Записан

Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #45 : 14 Май 2005, 11:54:01 »

Николай Николаевич, Ваше мнение начет удостоверения подлинности логов все-еще продолжает интересовать.

То есть, вам интересно узнать, как должно изымать лог, чтобы быть уверенным, что этот лог полный, целостный, не фальсифицированый?

Подлинность лога подтверждается обстоятельствами его изъятия (фиксации). Незаинтересованные лица должны подтвердить, что именно этот лог был обнаружен именно на этом компьютере в соответствующем месте, при соответствующих настройках софта. Если лог изымается (осматривается) в порядке осмотра места происшествия или обыска, то в протоколе следует отметить следующее.
  • Участие специалиста, компетентного в соответствующей области
  • Что понятые имеют специальные познания о компьютерах, сетях и данной ОС и полностью понимают смысл и значение всех производимых действий.
  • Настройки программы, которая пишет лог (например, содержимое /etc/syslog.conf), а также настройки программ, обрабатывающих логи, например, ротатора логов.
  • Возможности доступа на запись к файлам логов.
  • Наличие признаков изменения логов или признаков нарушения защиты системы в целом.

Понятно, что для теоретическо-стопроцентной уверенности в подлинности логов надо произвести полный аудит безопасности всей системы. И если обнаружится хотя бы один недостаток, уверенность не будет стопроцентной. На практике же вполне достаточно вышеупомянутого "отсутствия признаков" изменения.

Конечно, экспертиза в таких случаях предпочтительней осмотра.

В случае с Замполитом логи (1) получались даже без этих минимально необходимых удостоверяющих действий и (2) все операции производились только заинтересованными лицами - сотрудниками провайдера. Именно поэтому я не склонен считать их доказательствами.

Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #46 : 14 Май 2005, 18:58:40 »

Dmitry,
Согласен с тем, что побитовое сравнение не идеальный метод  Грустный , но во всех других случаях , описанных Вами, необходимо, видимо, проводить дезассемблирование кода программы  Плачущий  (а ведь есть еще  недокументированные команды и т.д.).

Иначе как доказать, что программа только  изменяет MAC адрес а еще одновременно не производит запуск  пары баллистических ракет (или не учавствует в распространении свежего червя по сети)?

Николай Николаевич, Вы меня опять не совсем поняли. Попробую объяснить по другому. На Западе эксперты для подтвеждения подлинности полученных цифровых доказательств используют контрольные суммы. Вот я и спрашиваю - Вы бы стали рассчитывать контрольную сумму (для подтверждения подлинности)  для файла с логами и если "да" то по какому алгоритму? Вопрос понятен?
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #47 : 14 Май 2005, 22:32:57 »

Игорь Юрьевич, я соглашусь со словом "видимо" в вашей фразе о дизассемблировании, но склонен возражать против слова "необходимо". Это зависит от многих обстоятельств охватывающих общую картину происходящего и известных следствию, их полноты и достаточности для формирования цельной и непротиворечивой картины присшедшего, личностей участников и т.д. Иначе говоря - от круга тех версий и контрверсий, которые я как эксперт должен выдвинуть и проверить, основываясь на своих знаниях и опыте, известных мне сведениях о происшедшем и собранных данных (которые в ходе исследований будут постоянно уточняться, а их оценка, возможно, меняться), руководствуясь (но, возможно, не ограничиваясь) вопросами и версиями предложенными для проверки следователем. Возможно, когда-то придется и дизассемблировать, а когда-то достаточно будет ограничиться более простыми методами. Если по обстоятельствам дела, есть основания полагать, что вслед за несанкционированным доступом, по офису провайдера с целью сокрытия следов этого преступления был нанесен ракетно-артилерийский удар - буду вынужден искать следы этого. А если никаких указаний на разрушения, связанные с этим несанкционированным доступом нет, зачем мне в это лезть, если непосредственно для установления возможности несанкционированного доступа существенным является только возможность смены МАС-адреса, что и будет мной проверенно. Так действительно можно дойти до того, что каждое новое преступление будем проверять на связь с убийством Кеннеди, слать запросы в ФБР, ждать ответы и закрывать дела за истечением сроков давности. В конце концов идеальных методов, а уж тем более идеальных методов на все случаи жизни не существует - так уж увы устроен наш мир. Поэтому выбирать методы исследования буду исходя из возможности получения данных, достаточных и удобных для предъявления в качестве доказательств неспециалистам в суде, достаточно строгих вместе с этим, чтобы можно было их отстаивать и перед специалистом, и достаточных для того, чтобы соответственно моим знаниям о том, что реально можно и нужно сделать, чтобы полученные выводы убеждали меня самого настолько, чтобы потом совесть не мучала. А 100%-ного результата все равно достичь невозможно, как ни старайся, фантастических или гипотетически правдоподобных версий можно всегда будет напридумывать столько, что и за всю жизнь не проверишь. Как говорится - если бы у бабушки был..., ну и так далее... Не лазить же теперь всем под юбку когда ни попадя.
« Последнее редактирование: 15 Май 2005, 01:06:37 от Dmitry » Записан

Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #48 : 15 Май 2005, 10:17:05 »

Николай Николаевич, Вы меня опять не совсем поняли. Попробую объяснить по другому. На Западе эксперты для подтвеждения подлинности полученных цифровых доказательств используют контрольные суммы. Вот я и спрашиваю - Вы бы стали рассчитывать контрольную сумму (для подтверждения подлинности)  для файла с логами и если "да" то по какому алгоритму? Вопрос понятен?

Контрольные суммы и хэши используются не для подтверждения подлинности, а для проверки неизменности.

Например, чтобы эксперт был уверен, что переданный ему лог - тот же, который был изъят ранее, можно сравнить хэши того и другого. А можно сравнить непосредственно сами логи. Первое, конечно, удобнее, но это непринципиально.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Антон Серго
Администратор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7029


Юридическая фирма "Интернет и Право"


WWW E-mail
« Ответ #49 : 15 Май 2005, 15:33:58 »

Материалы дела:

(объем - до 1.5 МБ, формат - tif).
По формату и именам файлов - клал как получил от "замполита".
P.S. В конце - файл "все в одном", архивом (5.1 Мб) - предпочтительно.

1. Допрос эксперта.tif http://internet-law.ru/forum/attachments/cyberpol/1.tif
2. Допрос эксперта2.tif http://internet-law.ru/forum/attachments/cyberpol/2.tif
3. Заключение доп эксперт.tif http://internet-law.ru/forum/attachments/cyberpol/3.tif
4. Заключение эксперт.tif http://internet-law.ru/forum/attachments/cyberpol/4.tif
5. Запрос и ответ по MAC адресам.tif http://internet-law.ru/forum/attachments/cyberpol/5.tif
6. Обвинительное заключение.tif http://internet-law.ru/forum/attachments/cyberpol/6.tif
7. Отказ ходатайства в доп эксп.tif http://internet-law.ru/forum/attachments/cyberpol/7.tif
8. Постановление о прекращении УД.tif http://internet-law.ru/forum/attachments/cyberpol/8.tif
9. Постановление об отмене постановления о прекращении.tif http://internet-law.ru/forum/attachments/cyberpol/9.tif
10. Постановление об удовлетворении ходатайства.tif http://internet-law.ru/forum/attachments/cyberpol/10.tif

Файл "все в одном", архивом (5.1 Мб): http://internet-law.ru/forum/attachments/cyberpol/delo_zampolita.zip
Записан
Страниц: 1 ... 3 4 [5] 6 7 ... 9   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines