Форум ''Интернет и Право''
29 Марта 2024, 14:18:56 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 3 [4] 5 6 7   Вниз
  Печать  
Автор Тема: Статья: Доказательная сила логов  (Прочитано 30790 раз)
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #30 : 08 Января 2007, 16:35:01 »

Цитировать
сведения о защищённости системы, её проверке на наличие вредоносных программ;
Прикололи. Долго смеялся. Николай Николаевич, Вы какой-то конкретный антивирус имеете в виду?
Настаиваю, что сведения о защищённости в протоколе осмотра указывать надо. Например: "На компьютере установлена ОС такая-то с такими-то обновлениями. Установлен такой-то антивирус с такой-то датой последнего обновления базы сигнатур."

А вы при осмотре и экспертизе наличие патчей и антивирусов в протоколе не отражаете?


Надо бы указать, что тем не менее, все три варианта должны выполнять требования УПК, а именно не уничтожать и не  изменять  свойств исследуемых (осматриваемых) объектов (в нашем случае данных находящихся на накопителях информации).
Вы таки будете смеяться, но в УПК нет требования о неизменении свойств осматриваемых объектов. Ещё раз перечитал главу 24 - нет таких требований.

Что же касается экспертизы, то изменение или уничтожение исследуемых объектов прямо дозволяется УПК. Правда, с разрешения следователя или суда.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #31 : 08 Января 2007, 17:08:58 »

Настаиваю, что сведения о защищённости в протоколе осмотра указывать надо. Например: "На компьютере установлена ОС такая-то с такими-то обновлениями. Установлен такой-то антивирус с такой-то датой последнего обновления базы сигнатур."
Если на исследуемом компе стоит такая популярная у хакеров ОС как  ...BSD,  это вовсе не означает, что компьютер круто защищен. Может она "криво" настроена. Подмигивающий Ну и .т.д.

А патч мог был быть установлен уже после взлома. Подмигивающий Тогда, специалист  своими действиями, а именно описав в протоколе осмотра, что система на момент осмотра имела такой-то патч    (который защищает от атаки в результате которой компьютер был взломан) более запутает следствие чем окажет помощь в расследовании.
« Последнее редактирование: 08 Января 2007, 17:15:27 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #32 : 08 Января 2007, 17:24:18 »

А вы при осмотре и экспертизе наличие патчей и антивирусов в протоколе не отражаете?
Мне не известно программное обеспечение позволяющее однозначно идентифицировать кодовые последовательности и базы всех антивирусов всех софтверных компаний со всеми их временными вариациями.

Хотя, Вы пошли дальше наших западных коллег (предлагая указывать какой антивирус стоит на исследуемом накопителе, какой версии, когда последний раз были обновлены его базы).  Они (западные коллеги) , перед проведением исследования, только проверяют представленные накопители антивирусом установленным на стендовой ПЭВМ.
« Последнее редактирование: 08 Января 2007, 17:45:18 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Urix
Гость


E-mail
« Ответ #33 : 08 Января 2007, 18:08:11 »

Цитировать
А патч мог был быть установлен уже после взлома.
Логи могли быть фальсифицированы кем угодно: и самим терпилой, и экспертом и т.д. Поэтому ссылка на логи при условии, что не были предусмотрены меры защиты логов от подделки (фальсификации), использовать их в качестве доказательств нельзя. Приведу уже описанный мной много ранее пример судебного эксперимента, основанный на операции модификации данных, который надо предлагать провести в суде присяжных:

Имеется компьютер на котором есть система регистрации логов. Просим эксперта осмотреть (без копирования логов) компьютер и дать свое заключение о правомерности использования логов в качестве доказательства. Просим присяжных удалиться в совещательную комнату, взяв с собой этот компьютер, просим кому-то из присяжных открыть двоичным редактором этот файл и изменить только одну цифирьку в каком-то IP-адресе. После этого, храня тайну совещательной комнаты, просим эксперта в присутствии присяжных сказать производилась ли модификация лог-файла и если да, то что именно было изменено. Вердикт присяжных будет однозначным - лог-файл доказательством не является, а экспертиза была заведомо недобросовестной.
« Последнее редактирование: 08 Января 2007, 18:14:45 от Urix » Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #34 : 08 Января 2007, 19:29:28 »

А патч мог был быть установлен уже после взлома. Подмигивающий Тогда, специалист  своими действиями, а именно описав в протоколе осмотра, что система на момент осмотра имела такой-то патч    (который защищает от атаки в результате которой компьютер был взломан) более запутает следствие чем окажет помощь в расследовании.
Неубедительно. Нелогично. Патч, конечно, мог быть установлен после взлома. Но это не причина опускать его наличие в протоколе осмотра. Когда именно патч был установлен, защитил бы он от взлома или нет - это вопросы для последующей экспертизы. А при осмотре отразить наличие патчей и антивирусов полезно.

Во время осмотра места происшествия ведь отражают в протоколе наличие и состояние замков. Хотя замок мог быть заперт уже после кражи.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #35 : 08 Января 2007, 20:04:49 »

А при осмотре отразить наличие патчей и антивирусов полезно.
Ну так назовите нам ПО позволяющее однозначно идентифицировать кодовые последовательности и базы всех антивирусов всех софтверных компаний со всеми их временными вариациями. Подмигивающий

Если не можете назвать такое ПО - не морочте нам голову.  Смеющийся
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Urix
Гость


E-mail
« Ответ #36 : 08 Января 2007, 22:46:54 »

Цитировать
Ну так назовите нам ПО позволяющее однозначно идентифицировать кодовые последовательности и базы всех антивирусов всех софтверных компаний со всеми их временными вариациями.
Ну тогда надо сюда же еще включить все вирусы, которые будут написаны в ближайшем будущем. Сказать точно чем вызвано такое странное поведение логов можно только имея полную картину. Например, столкнулись с какой-то странной записью в лог-файле, которую, как выяснится через полгода, оставляет вирус, который будет написан через два месяца, а ни один из известных вирусов таких изменений не делает.
Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #37 : 09 Января 2007, 01:58:43 »

Неубедительно. Нелогично. <skip> Когда именно патч был установлен, защитил бы он от взлома или нет - это вопросы для последующей экспертизы.
Хотя я настроен к вашей статье гораздо менее критично, чем другие оппоненты, должен отметить, что при первых двух вариантах изъятия, задавать эти вопросы эксперту в подавляющем большинстве случаев, ИМХО, будет бесполезно - однозначного ответа на многие из возможных вопросов в результате анализа только зафиксированной в соответствии с этими рекомендациями информации дать будет практически невозможно. А дополнительной информации к этому моменту, увы, тоже, может статься, получить уже неоткуда...
Записан

Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #38 : 09 Января 2007, 23:26:58 »

Вы таки будете смеяться, но в УПК нет требования о неизменении свойств осматриваемых объектов.
Изъяли у подозреваемого муку, а посадили за хранение героина. И, получается, все в рамках закона?
  Грустный
« Последнее редактирование: 09 Января 2007, 23:28:01 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #39 : 10 Января 2007, 01:23:23 »

Вы таки будете смеяться, но в УПК нет требования о неизменении свойств осматриваемых объектов.
Изъяли у подозреваемого муку, а посадили за хранение героина. И, получается, все в рамках закона?
  Грустный
Смайлики смайликами, но по существу-то что скажете? Вправе эксперт изменять свойства исследуемого объекта? Не запрещает это УПК? Отстреливают эксперты исследуемые боеприпасы, тем самым приводя их в негодность? А логи чем хуже?
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Страниц: 1 2 3 [4] 5 6 7   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines