Форум ''Интернет и Право''
28 Марта 2024, 23:36:06 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2 3 4   Вниз
  Печать  
Автор Тема: Доказательственное значение лог-файлов  (Прочитано 19402 раз)
Игорь Собецкий
Гость


E-mail
« : 28 Июля 2003, 13:51:50 »

                  Здравствуйте, господа!


   Тут вот по адресу http://www.securitylab.ru/?ID=39167 опубликована моя статья о доказательственном значении лог-файлов в уголовном процессе. Хотелось бы услышать компетентное мнение уважаемых господ юристов. Как говорится, "где два юриста, там три мнения"...


С уважением,
Игорь В. Собецкий
Записан
Urix
Гость


E-mail
« Ответ #1 : 29 Июля 2003, 17:45:52 »

Уважаемый Игорь! То, что написано в Вашей статье по поводу бездоказательности log-файлв - это сущая правда, основанная на неверном и действующем определении понятия "документ". С моей точки зрения (я не юрист, а программист) определение должно выглядеть примерно так:
документ - носитель информации (объект материального мира), путем изменения физических, химических, механических или иных материальных свойств которого, закодирована информация методом кодирования, позволяющим дать однозначный ответ на вопрос: изменялась или нет информация на этом носителе в течении заранее обусловленного времени.
Заметьте, в моем определении есть очень важное условие: дать однозначный ответ на вопрос: изменялась или нет информация на этом носителе в течении заранее обусловленного времени. Только при соблюдении этого условия можно применять носитель с информацией в качестве вещдока.

Если носитель информации не удовлетворяет такому условию, то сколько ни сопоставляй информацию, всегда имеется основание для того, что бы поставить под соменение исходную информацию (log-файл) и, следовательно, сделанные на ее основе выводы. Только жена Цезаря всегда вне подозрений. Понятие софистика, т.е. правильные рассуждения, основанные на неверной начальной посылке, Вам и судьям должно быть знакомо из логики. Как Вы думаете, как будет себя чувствовать судья, если адвокат докажет и покажет, что решение Суда было основано на грубой логической ошибке? А ведь если адвокат внесет протест на решение Суда именно на доказательстве того, что решение Суда противоречит логике, то компетентность и даже честность судьи, который вынес такое решение, можно уже ставить под сомнение.

В остальных случаях, извините, не "прокатывает". Некоторые судебные эксперименты, которые адвокат мог бы попросить провести для отвода доказательств в ходе судебного разбирательства, и которые основанны именно на обезличенности информации и свойстве изменяться с минимальными затратами я уже приводил в обсуждении темы "Выемка" электронной корреспонденции на этом форуме.
« Последнее редактирование: 29 Июля 2003, 19:38:35 от Urix » Записан
Игорь Собецкий
Гость


E-mail
« Ответ #2 : 01 Августа 2003, 12:22:15 »

То, что написано в Вашей статье по поводу бездоказательности log-файлв - это сущая правда, основанная на неверном и действующем определении понятия "документ". С моей точки зрения (я не юрист, а программист) определение должно выглядеть примерно так:
документ - носитель информации (объект материального мира), путем изменения физических, химических, механических или иных материальных свойств которого, закодирована информация методом кодирования, позволяющим дать однозначный ответ на вопрос: изменялась или нет информация на этом носителе в течении заранее обусловленного времени.
Заметьте, в моем определении есть очень важное условие: дать однозначный ответ на вопрос: изменялась или нет информация на этом носителе в течении заранее обусловленного времени. Только при соблюдении этого условия можно применять носитель с информацией в качестве вещдока.

   Уважаемый  Urix! В данном случае Вас сильно подводит то, что Вы не юрист, а программист. Дело в том, что юриспруденция - вещь исключительно формальная. Написано в законе - делаем, не написано - не делаем. А понятия "здравый смысл", "само собой разумеется" и "по аналогии с..." там отсутствуют напрочь. Кстати, юридической основой событий столь любимых Вами 1936-1937 гг. было в числе прочего как раз трактование закона по аналогии... Но мы отвлеклись.

   В уголовном процессе стороны оперируют не введенным Вами определением документа (каким бы оно не было или казалось правильным), а исключительно положениями, содержащимися в УЖЕ принятых в установленном порядке законах. Так вот, как это не прискорбно, в уголовном праве НЕТ такого понятия - "документ". Сбор доказательств четко регламентируется статьёй 74 Уголовно-процессуального кодекса РФ. Так вот, там написано:

1. Доказательствами по уголовному делу являются любые сведения, на основе которых суд, прокурор, следователь, дознаватель в порядке, определенном настоящим Кодексом, устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию при производстве по уголовному делу, а также иных обстоятельств, имеющих значение для уголовного дела.
2. В качестве доказательств допускаются:
1) показания подозреваемого, обвиняемого;
2) показания потерпевшего, свидетеля;
3) заключение и показания эксперта;
4) вещественные доказательства;
5) протоколы следственных и судебных действий;
6) иные документы.


В контексте этой статьи лог-файлы рассматриваются как вещественные доказательства. А вот никаких даже намеков на Ваше определение в кодексе нет. Поэтому оно применяться не будет.

Если носитель информации не удовлетворяет такому условию, то сколько ни сопоставляй информацию, всегда имеется основание для того, что бы поставить под соменение исходную информацию (log-файл) и, следовательно, сделанные на ее основе выводы. Только жена Цезаря всегда вне подозрений.

   Не совсем так. Основания, чтобы поставить под сомнения ЛЮБОЕ доказательство, у адвоката найдутся всегда. Вот только чтобы исключить такое доказательство как недопустимое, этого мало! Надо, чтобы соответстывующие сомнения возникли не только у адвоката, но и у судьи. А тут все гораздо сложнее. Если представитель провайдера заявляет, что у него лог-файлы не изменялись, то голословные заявления адвоката, что они МОГЛИ измениться - просто игнорируются. "В конце концов, существование инопланетян никем не опровергнуто, так может быть это всё они и устроили?" Суд с такой логикой не согласен. Это может не нравиться Вам, но это факт.

   Что же касается изменения лог-файлов после изъятия следователем или кем-то еще - это уже вопрос процессуальных предосторожностей. Изъятые лог-файлы сохраняются либо на носителе read-only, где их технически невозможно изменить (например, CD-ROM), либо носитель помещается в конверт, а конверт заклеивается и опечатывается с подписями понятых. Тех самых, кто присутствовал при изъятии.

Понятие софистика, т.е. правильные рассуждения, основанные на неверной начальной посылке, Вам и судьям должно быть знакомо из логики. Как Вы думаете, как будет себя чувствовать судья, если адвокат докажет и покажет, что решение Суда было основано на грубой логической ошибке? А ведь если адвокат внесет протест на решение Суда именно на доказательстве того, что решение Суда противоречит логике, то компетентность и даже честность судьи, который вынес такое решение, можно уже ставить под сомнение.

   Ваш вопрос основан на грубой юридической ошибке. Адвокат в суде не может ничего доказать. Он может максимум представлять доказательства, а достаточны они или нет для доказывания чего-либо - решает суд. А в суд, разумеется, представляются в качестве доказательства не только лог-файлы. И если все представленные обвинением дказательства друг другу не противоречат, и не опровергаются доказательствами, представленными защитой (а не голословными заявлениями адвоката),  то приговор будет обвинительным. Никакой ошибки в этом нет. Такова наша, и не только наша, юридическая система. Если у человека в кармане найдены ворованные деньги, то они туда не сами телепортировались, а были положены. Если человек не сумасшедший, то он не мог перепутать боевой пистолет с детским водяным (это все - конкретные примеры адвокатских отмазок). Если в лог-файлах содержится информация и не доказано, что эти лог-файлы кто-то несанкционированно менял, значит эта информация правильная. Противоположный подход означал бы крах юридической системы, поскольку любое доказательство любого преступления могло быть голословно объявлено сфальсифицированным. Примерно так, как это делал "банный министр" Ковалёв с известной плёнкой...

   Разумеется, адвокат имеет полное право внести протест на решение суда. Кстати, по закону это действие называется "подачей кассационной жалобы". Только в этом случае ни малейших сомнений ни в компетентности, ни в честности  судьи ни у кого в вышестоящем суде не возникнет. А таковые сомнения у адвоката - это личное дело адвоката. Так что жалоба просто будет отклонена вышестоящим судом. В свое время у меня двое подследственных именно так и сделали. Суд второй инстанции согласился с решением первой инстанции, и приговоры вступили в законную силу.

В остальных случаях, извините, не "прокатывает". Некоторые судебные эксперименты, которые адвокат мог бы попросить провести для отвода доказательств в ходе судебного разбирательства, и которые основанны именно на обезличенности информации и свойстве изменяться с минимальными затратами я уже приводил в обсуждении темы "Выемка" электронной корреспонденции на этом форуме.

   Указанную Вами тему я прочитал. Цитировать ее здесь считаю излишним. Только скажу одно. Указанные Вами эксперименты ни один адвокат не попросит провести в суде. Просто чтобы не стать до конца своих дней всеобщим посмешищем. А если это его последний процесс перед отъездом в Аргентину (где он займется фермерством), то все равно судья не согласится на такую клоунаду. Суд - это все же не цирк, по крайней мере в большинстве случаев.

   Единственным разумным экспериментом, на который согласился бы судья, было бы предложение "хакнуть" провайдера. Если прозвучало голословное утверждение, что лог-файлы провайдера могли быть изменены третьими лицами - то давайте сделаем эксперимент. Сможете так сами (или приглашенный адвокатом специалист) поменять логи - поверим вашим словам. Не сможете - значит, это был треп. Только ни один адвокат такого не требовал. В процессе при мне помощник прокурора предложил такой жксперимент провести. Но адвокат доказывать свой треп не стал.

   Резюмируем. Модификацию лог-файлов все-таки надо доказывать. И если не доказали, значит модификации не было. Печально, но факт.
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #3 : 01 Августа 2003, 13:21:10 »

А как вам такой сценарий?

Защитник: Из протокола осмотра следует, что изъятый лог-файл был доступен на запись пользователю с именем "root". Под этим аккаунтом работал системный администратор Пупкин В.В. Прошу допросить Пупкина в качестве свидетеля.
Судья: Вызвать!
Защитник: Гражданин Пупкин, вы изменяли этот лог-файл?
Пупкин: Нет.
Защитник: Давали кому-либо пароль администратора?
Пупкин: Нет.
Защитник: Эксперт утверждает, что для используемой на вашем сервере операционной системы опубликовано 114 уязвимостей, позволяющих осуществить эскалацию привилегий обычного пользователя до root. Из них 45 - с готовыми эксплойтами. Чем вы можете подтвердить, что этими возможностями не воспользовались?
Пупкин: Ну, я патчи ставил...
Защитник: Все 114? Какие именно? Через какой срок после публикации уязвимостей.
Пупкин: Ну, это...
Защитник: Учитывая, что в протоколе осмотра не отражена текущая конфигурация ОС и наличие всех указанных патчей, учитывая, что системный администратор закрывал не все уязвимости и не сразу, есть основания полагать, что ОС имела несколько уязвимостей, позволяющих обычному пользователю изменить лог-файлы. А среди пользователей данного сервера...

Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
yuriyah
Специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 3369


Ох я дурень старой, голова с дырой (с) Морозко


E-mail
« Ответ #4 : 01 Августа 2003, 14:15:59 »

Браво! Улыбающийся
Записан
Игорь Собецкий
Гость


E-mail
« Ответ #5 : 01 Августа 2003, 15:02:36 »

А как вам такой сценарий?

Защитник: Из протокола осмотра следует, что изъятый лог-файл был доступен на запись пользователю с именем "root". Под этим аккаунтом работал системный администратор Пупкин В.В. Прошу допросить Пупкина в качестве свидетеля.
Судья: Вызвать!
Защитник: Гражданин Пупкин, вы изменяли этот лог-файл?
Пупкин: Нет.
Защитник: Давали кому-либо пароль администратора?
Пупкин: Нет.
Защитник: Эксперт утверждает, что для используемой на вашем сервере операционной системы опубликовано 114 уязвимостей, позволяющих осуществить эскалацию привилегий обычного пользователя до root. Из них 45 - с готовыми эксплойтами. Чем вы можете подтвердить, что этими возможностями не воспользовались?
Пупкин: Ну, я патчи ставил...
Защитник: Все 114? Какие именно? Через какой срок после публикации уязвимостей.
Пупкин: Ну, это...
Защитник: Учитывая, что в протоколе осмотра не отражена текущая конфигурация ОС и наличие всех указанных патчей, учитывая, что системный администратор закрывал не все уязвимости и не сразу, есть основания полагать, что ОС имела несколько уязвимостей, позволяющих обычному пользователю изменить лог-файлы. А среди пользователей данного сервера...

   Для кино - хорошо. Для реальной жизни - не очень. То, что здесь перечислено, как раз и относится к разряду процессуальных просчетов лица, производившего осмотр. То, что кто-то конкретный облажался, еще не компрометирует всю методику!
   Но даже и в этом случае разговор будет совсем другой. Примерно такой:

Защитник: Эксперт утверждает, что для используемой на вашем сервере операционной системы опубликовано 114 уязвимостей, позволяющих осуществить эскалацию привилегий обычного пользователя до root. Из них 45 - с готовыми эксплойтами. Чем вы можете подтвердить, что этими возможностями не воспользовались?

Пупкин: Во-первых, я имею высшее образование и опыт работы по специальности 10 лет. И я ставил патчи в течение суток после появления информации о соответствующей уязвимости. Во-вторых, последняя по времени уязвимость быыла обнаружена и соответственно патч к ней мною установлен N дней назад, а неправомерные действия были предприняты N-10 дней назад. И в-третьих, после образения в милицию наш компьютер направлялся на экспертизу. Эксперт сообщил, что посторонних проникновений под логином root не было.

Защитник: Хочу допросить эксперта Хлюпкина, который дает такие заключения.

Хлюпкин: Полностью подтверждаю все, что написал в заключении. Вход под логином lamer был тогда-то, лишних входов под логином root не было. Атак через указанные вами 114 уязвимостей тоже не было.

Защитник: Да как вы это можете утверждать? Вы что, все 114 проверили?

Хлюпкин: Все проверил. Как эксперт с 15-летним стажем работы в области компьютерной безопасности, кандидат наук, MSCE и прочая, и прочая..., утверждаю, что посторонних проникновений под логином root на компьютер потерпевшего не было.

Защитник: А сам потерпевший мог поменять лог-файлы?

Хлюпкин: В принципе мог. Но на самом деле не менял, поскольку изменение тех лог-файлов отразилось бы в трех других, а там тоже ничего нет. А те три других не менялись, поскольку их изменение отразилось бы... (техническая документация пропущена).

Защитник: А кто вам эту экспертизу оплачивает? Да вас подкупили!

Хлюпкин: Факт оскорбления меня адвокатом прошу занести в протокол. А экспертизу мне оплачивает суд с соответствующей статьи расходов. Причем независимо от выводов.

Защитник: Хочу допросить понятых, которые присутствовали при изъятии лог-файлов!

Понятые Бобчинский и Добчинский: А это мы присутствовали - аспиранты кафедры защиты информации Радиотехнической академии! Мы отлично разбираемся в UNIX - и видим, что все было сделано правильно.

Судья: Итак, защитнику не удалось доказать факт подмены лог-файлов кем бы то ни было. Распечатки лог-файлов признаются допустимым доказательством. Продолжим!

В реальной жизни бывает примерно так... Потому что указанную Вами, Николай Николаевич, макулатуру просто не понесут в суд. Если уж такой ляп сделали - дело прекратят, а виновному настучат по фуражке...
Записан
yuriyah
Специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 3369


Ох я дурень старой, голова с дырой (с) Морозко


E-mail
« Ответ #6 : 01 Августа 2003, 15:38:36 »

Вот как раз чтобы без ляпов это вряд ли, Игорь.
Понятых придется с собой через весь город возить, а таких еще найти надо, или знакомых искать (а тогда адвокат скажет, что они недопустимы).
Чтобы через сутки все баги ловить и заплатки ставить - да не бывает такого. А если ляпнет он такое в суде, развернется следующая дискуссия:

 Пупкин: Во-первых, я имею высшее образование и опыт работы по специальности 10 лет. И я ставил патчи в течение суток после появления информации о соответствующей уязвимости. Во-вторых, последняя по времени уязвимость быыла обнаружена и соответственно патч к ней мною установлен N дней назад, а неправомерные действия были предприняты N-10 дней назад. И в-третьих, после образения в милицию наш компьютер направлялся на экспертизу. Эксперт сообщил, что посторонних проникновений под логином root не было.
Защитник: что, каждый патч в течение суток?
Пупкин: Да.
Защитник: Помните, что за ложные показания Вы можете быть привлечены к уголовной ответственности.
Пупкин: Факт оскорбления меня адвокатом прошу занести в протокол.
Защитник: Попрошу принести протокол выемки компьютера у Пупкина. Здесь, здесь и здесь патчей нет. Обращаю внимание суда, что Пупкин лжесвидетельствовал и не заслуживает доверия как свидетель. Обращаю внимание прокурора на действия Пупкина, которые можно квалифицировать как лжесвидетельство.



 

Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #7 : 01 Августа 2003, 17:45:19 »


В реальной жизни бывает примерно так... Потому что указанную Вами, Николай Николаевич, макулатуру просто не понесут в суд. Если уж такой ляп сделали - дело прекратят, а виновному настучат по фуражке...

Под "ляпом" многоуважаемый оппонент, очевидно, имеет в виду дело, где протокол осмотра сервера провайдера (потерпевшей стороны) не включает полную конфигурацию ОС и сведения о патчах, и где сервер провайдера (потерпевшей стороны!) не изымается сразу после осмотра и не направляется на ПТЭ?

И какой же провайдер после этого захочет иметь дело с нашим славным Управлением "Ы"?
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Urix
Гость


E-mail
« Ответ #8 : 01 Августа 2003, 18:17:20 »

Цитировать
Хлюпкин: Все проверил. Как эксперт с 15-летним стажем работы в области компьютерной безопасности, кандидат наук, MSCE и прочая, и прочая..., утверждаю, что посторонних проникновений под логином root на компьютер потерпевшего не было.
Оба на!!! Тут адвокат просит слово и говорит следующее:
MSCE - это сертификат компании MicroSoft, подтверждающий знание ОС Windows на уровне системного администратора. Зарезервированное имя в этих ОС для администратора - admin. Зарезервированное имя системного администратора для ОС UNIX - root. Исходя из изложенного, путаница Хлюпкиным зарезервированных имен системных администраторов для разных ОС свидетельствует о полном незнании им ОС UNIX. Это подтверждается и его высказыванием "В принципе мог. Но на самом деле не менял, поскольку изменение тех лог-файлов отразилось бы в трех других, а там тоже ничего нет". На самом деле информация о получении привилегий root ни в какой log-файл не пишется, поскольку проникновение, если таковое было ссовершено, було осуществлено через известные holes в программе sendmail. Дата создания правленной версии sendmail указывает, что заплатка была поставлена три недели спустя, после выхода в свет соответствующего patch-а и на полтора месяца позже, после выявления уязвимости. Как эксперт, Хлюпкин давал подписку об ответственности за заведомо ложную экспертизу. Прошу признать показания Хлюпкина ничтожными и вводящими Суд в заблуждение. И прошу Суд вынести постановление о возбуждении уголовного дела для расследования причин, побудивших Хлюпкина дать заведомо ложную экспертизу. Вот тут Хлюпкину, если судья не продажный и не дурак, наступает не большой, но маленький такой абздец.
« Последнее редактирование: 01 Августа 2003, 18:53:28 от Urix » Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #9 : 01 Августа 2003, 18:54:55 »

Оба на!!! Тут адвокат просит слово и говорит следующее:
MSCE - это сертификат компании MicroSoft, подтверждающий знание этой ОС на уровне системного администратора. Зарезервированное имя в этих ОС для администратора - admin. Зарезервированное имя системного администратора для ОС UNIX - root. Исходя из изложенного, путаница Хлюпкиным зарезервированных имен системных администраторов для разных ОС свидетельствует о полном незнании им ОС UNIX. Это подтверждается и его высказыванием "В принципе мог. Но на самом деле не менял, поскольку изменение тех лог-файлов отразилось бы в трех других, а там тоже ничего нет". На самом деле информация о получении привилегий root ни в какой log-файл не пишется, поскольку проникновение, если таковое было ссовершено, було осуществлено через известные holes в программе sendmail. Дата создания правленной версии sendmail указывает, что заплатка была поставлена три недели спустя, после выхода в свет соответствующего patch-а и на полтора месяца позже, после выявления уязвимости. Как эксперт, ...


(цитата приблизительная)
Цитировать
...Быть уличённым в невежестве Ходжа Насреддин не боялся, поскольку знал, что в таких высокоучёных спорах пред лицом эмира выигрывает не тот, кто более сведущ в астрологии, а тот, у кого лучше подвешен язык. А в этом с Насреддином мало кто мог состязаться.
Подмигивающий
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Страниц: [1] 2 3 4   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines