Форум ''Интернет и Право''
28 Марта 2024, 21:32:36 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 [3] 4 5 ... 7   Вниз
  Печать  
Автор Тема: Статья: Доказательная сила логов  (Прочитано 30785 раз)
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #20 : 06 Января 2007, 20:55:17 »

Еще замечания к статье.

Цитировать
Не могут являться доказательством логи (их копии, распечатки, акты осмотра), полученные заинтересованной стороной.
С какого перепугу?
М-да... Конечно, следовало выразиться по-другому. Не могут являться самостоятельным доказательством логи, полученные заинтересованной стороной. Их доказательное значение ровно такое же, как у свидетельских показаний лица, получившего эти логи. С поправкой на возможную некорректность генерирующей логи программы.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #21 : 07 Января 2007, 10:45:12 »

Цитировать
Таковым обоснованием является лишь наличие известной ошибки, которая:

а) подтверждена службой техподдержки производителя, его уполномоченного представителя (дистрибутора, реселлера) или компетентной организацией, занимающейся учётом ошибок и уязвимостей;

Безусловно хорошо, если это есть, не уверен, однако, что это должно быть обязательным условием - что, если речь идет об узкоспециализированом ПО, не входящем в сферу первоочередных интересов сторонних компетентных организаций, производитель которого по каким-либо причинам не желает, к примеру, публично предоставлять подобные подтверждения? Да и почему у суда должно быть больше доверия к заявлениям производителя (а уж тем паче реселлера) или сторонней специализированной организации, пусть даже очень уважаемой и компетентной - неужели сотрудники этих организаций (по сути в данном случае выступающие в роли тех же экспертов, но за рамками процессуальных норм) априори должны полагаться судом более профессиональными, квалифицированными, заслуживающими доверия, чем эксперт, приглашенный самим судом. Да, полагаю, что если подобные подтверждения существуют, ИМХО, эксперту достаточно сослаться на них в подтверждение своих выводов, но думаю было бы неправильно признавать это единственно правильным и возможным, заведомо исключая из рассмотрения, например, ошибки, обнаруженные в ходе исследования самим экспертом. Готов предположить, что было бы, возможно, целесообразным внести в нормативные документы требование, что в последнем сулучае, сообщение об обнаруженной ошибке обязательно должно быть отправлено экспертом в указанные вами компетентные организации и производителю. И в этом случае суд уже в рамках стандартной процедуры может по своему усмотрению запросить у них подтверждение, если сочтет это необходимым.

Цитировать
Следует учитывать лишь два фактора: возможную намеренную фальсификацию логов каким-либо лицом и уничтожение логов по истечении установленного срока хранения.
Возможно это относится в большей степени к предыдущему параграфу, возможно это пограничный случай. Неоднократно сталкивался с нарушением целостности логов на границе кластера/сектора НЖМД, из-за того, что при аварийном выключении компьютера последние записи, уже обработанные syslogd, так и не были сброшены из кэша и при последующем запуске лог продолжался с границы сектора, при этом последняя запись в предыдущем секторе файла журнала могла обрываться посередине, а некоторые записи оказывались пропущенными.
Цитировать
Сомнения по поводу намеренного искажения логов не могут возникнуть лишь в силу существования самой технической возможности их искажения. Для обоснованности сомнений требуется наличие признаков, свидетельствующих о факте доступа на запись к логам.
+1


Чисто стилистически по параграфам про изъятие и интерпретацию усилил бы акцент на необходимость полного копирования при наличии технической возможности. Никто заранее не может сказать, что и как будет обнаружено в логах и какие дополнительные материалы и сведения могут понадобиться для анализа, по иронии как раз в случаях, когда кажется все заранее достаточно очевидно и прозрачно, зачастую в последствии выясняется, что некоторые нюансы были упущены из внимания, а соответствующая информация не была изъята или неполна. Более того, например, при воникновении подозрения на возможную умышленную фальсификацию логов или искажение в случае ошибки ПО, при полном изъятии есть все-таки дополнительная вероятность обнаружить недостающую информацию, например, в области подкачки, обнаружить более явные следы фальсификации, а возможно и неискаженные записи или фрагменты, и т.д.
« Последнее редактирование: 07 Января 2007, 13:12:53 от Dmitry » Записан

Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #22 : 07 Января 2007, 12:43:48 »

Безусловно хорошо, если это есть, не уверен, однако, что это должно быть обязательным условием - что, если речь идет об узкоспециализированом ПО, не входящем в сферу первоочередных интересов сторонних компетентных организаций, производитель которого по каким-либо причинам не желает, к примеру, публично предоставлять подобные подтверждения? Да и почему у суда должно быть больше доверия к заявлениям производителя (а уж тем паче реселлера) или сторонней специализированной организации, пусть даже очень уважаемой и компетентной - неужели сотрудники этих организаций (по сути в данном случае выступающие в роли тех же экспертов, но за рамками процессуальных норм) априори должны полагаться судом более профессиональными, квалифицированными, заслуживающими доверия, чем эксперт, приглашенный самим судом. Да, полагаю, что если подобные подтверждения существуют, ИМХО, эксперту достаточно сослаться на них в подтверждение своих выводов, но думаю было бы неправильно признавать это единственно правильным и возможным, заведомо исключая из рассмотрения, например, ошибки, обнаруженные в ходе исследования самим экспертом. Готов предположить, что было бы, возможно, целесообразным внести в нормативные документы требование, что в последнем сулучае, сообщение об обнаруженной ошибке обязательно должно быть отправлено экспертом в указанные вами компетентные организации и производителю. И в этом случае суд уже в рамках стандартной процедуры может по своему усмотрению запросить у них подтверждение, если сочтет это необходимым.
Целиком согласен. Если ошибку в ПО обнаружил эксперт в ходе проведения КТЭ, то доверия ему должно быть не меньше, чем производителю ПО. Даже больше.

В статье я имел в виду другое. Например, защита ссылается на возможное наличие ошибки в ПО, приводящей к некорректности логов. Если нет подтверждения существования такой ошибки от производителя или иной компетентной инстранции, то основанием для сомнения это не является. Несмотря на то, что ошибки в ПО бывают.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #23 : 07 Января 2007, 12:58:47 »

Например, защита ссылается на возможное наличие ошибки в ПО, приводящей к некорректности логов. Если нет подтверждения существования такой ошибки от производителя или иной компетентной инстранции, то основанием для сомнения это не является. Несмотря на то, что ошибки в ПО бывают.
+1

Продолжу придираться к буковкам.

Цитировать
наличие и рабочее состояние программы, генерирующей и программы, обрабатывающей логи
категорически не нравится- что-то не то с запятыми, да и стилистически

Честно говоря, будучи москвичем, не очень люблю проявления столичного снобизма, пуст даже с изрядным оттенком шутливости, посему предложенная терминология в классификации методов изъятия вызывает некоторое внутреннее отторжение. Пороки упрощенных подходов и, следовательно, границы применимости и само право на существование их комментировать не буду, ибо большинство из них достаточно очевидны.

Цитировать
Не могут являться доказательством логи (их копии, распечатки, акты осмотра), полученные заинтересованной стороной.
А существуют ли в рамках российского законодательства (за исключением уголовного) возможности и практика их применения, обеспечивающая выполнение данного условия, скажем, в рамках гражданского процесса.
« Последнее редактирование: 07 Января 2007, 15:56:18 от Dmitry » Записан

gur
Гость


E-mail
« Ответ #24 : 07 Января 2007, 23:51:43 »

Уважаемые коллеги! Веселый
Вы затронули очень интересные мне вопросы, связанные с возможностью использования лог файлов в качестве доказательств.
Относительно заинтересованной стороны: в уголовном процессе вообще не может быть заинтересованной стороны по определению. Все доказательства по делу собирает лицо, ведущее расследование уголовного дела. Данное лицо заинтересовано только лишь в расследовании уг. дела (по закону по крайней мере). При абсолютно правильном изъятии логов как с технической стороны так и с юридической стороны, вопросов относительно подлинности и достоверности вообще не должно возникнуть! Правильный порядок изъятия лог-файлов  полностью описан в статье Собецкого (за что ему огромное спасибо!). Кстати, при заявлении ходатайств следователю по изъятию лог-файлов и обжаловании его бездействий в случае невыполнения моих милых просьб, я полностью руководствовалась этой статьёй. Вышестоящая инстанция меня полностью поддержала и передала это дело другому.
Поэтому полностью не согласна с ННФ относительно того, что статья Собецкого не вносит ясности в вопрос, в каких случаях логи должны иметь доказательную силу, а в каких – не должны.
А вот:
Цитировать
Доказательность обеспечивается следующей цепочкой элементов: … и т.д.
не вносит не какой ясности, так как для технически грамотного специалиста написана вполне понятно, а вот для обычного юриста вообще не понятна. Для кого вообще написана статья? Строит глазки
Я, для того чтобы объяснить следователю, прокурору, что такое логи и с чем их едят, использовала абсолютно простой язык без упоминания заумных слов типа: неизменность при передаче записей от генерирующей программы к логирующей программе. Ну кто это поймёт? Эксперт возможно, а как насчёт всех остальных участников процесса? И если статья написана для экспертов, то слова «Доказательственная сила» в названии необходимо убрать. Подмигивающий
Цитировать
В протоколе осмотра должны быть указаны сведения, относящиеся как к корректности, так и к полноте осмотра. То есть, желательно описать все возможные места хранения логов, привести настройки программ, отвечающих за их хранение, осмотреть и приложить к протоколу в бумажном виде наиболее существенные записи, а все прочие логи, программы, настройки в полном объёме скопировать на диск и приложить к протоколу.
Как следователь либо специалист определит наиболее существенные записи??? И для чего необходимо привести настройки программ?
Цитировать
Все действия с компьютерной информацией проводятся при посредстве разнообразных технических средств.
Весьма некорректное предложение, например, «при посредстве разнообразных технических средств».  
Относительно понятых вообще очень интересный вопрос. Понятых для «обычных» следственных действий найти очень трудно, а тем более технически грамотных. Тем более ННФ в статье прямо указал о том, что необходимо указать на их грамотность. А кто и как будет проверять уровень компьютерной грамотности понятых?
Было бы хорошо в штате гос. учреждения держать таких специалистов. Но с другой стороны понятой  - это абсолютно независимое лицо.
Заключение в статье абсолютно противоречивое и с ним  полностью не согласна:
с одной стороны логи не могут являться доказательствами, а с другой стороны «не могут являться доказательством логи … и т.д. Полное противоречие!!!  Шокированный
И если следовать логике: Сами по себе логи никакой доказательной силы не имеют. Доказательствами по делу служат "производные" от логов материалы:
•   протокол осмотра,
•   заключение эксперта,
•   заключение специалиста,
•   показания свидетелей, понятых, эксперта и специалиста касательно осмотра и интерпретации логов.
То: вещ.доки, аудио и видео записи у нас тоже не являются доказательствами! А может вообще в таком случае сведём все доказательства только к письменным?  Улыбающийся
А существуют ли в рамках российского законодательства (за исключением уголовного) возможности и практика их применения, обеспечивающая выполнение данного условия, скажем, в рамках гражданского процесса.
Вот относительно гражданского процесса здесь конечно вопрос интересный. Что касается документов, подписанных ЭЦП вопросов не возникает. А вот использование логов в качестве доказательств считаю перспективной задачей (и вполне реальной!). Необходимо грамотно обосновать приобщение к делу логов и исследование их в процессе. Большая проблема в законе (ГПК, АПК) связана с тем, что ЭД не является самостоятельным видом доказательств. Поэтому на практике возникают проблемы, связанные с легализацией ЭД в судебном процессе.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #25 : 08 Января 2007, 01:49:06 »

Эксперт возможно, а как насчёт всех остальных участников процесса? И если статья написана для экспертов, то слова «Доказательственная сила» в названии необходимо убрать. Подмигивающий

"Тот ученый считается настоящим который может объяснить суть своего открытия даже обычной кухарке."
Резерфорд
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Urix
Гость


E-mail
« Ответ #26 : 08 Января 2007, 02:00:32 »

Цитировать
А может вообще в таком случае сведём все доказательства только к письменным?
Лучше к показаниям свидетелей. А еще лучше только к показаниям правоохранителей. Бомба неравенства, заложенная Гракхами, взорвалась не оставив от Рима, как республики, камня на камне. Нас ожидает таже участь, только в гораздо более короткие сроки. Звоночки, вроде lex Licinia Mucia, уже вовсю звенят: сайты стали арестовывать, в вину стали вменять соблюдение авторских и смежных прав...
Цитировать
Сами по себе логи никакой доказательной силы не имеют. Доказательствами по делу служат "производные" от логов материалы
Глубочайшее заблуждение. Производные документы являются доказательствами чего? Сначала дайте ответ на этот вопрос, потом читайте дальше.

Именно логи являются вещественным доказательством совершения виновным лицом виновных действий.
Записан
gur
Гость


E-mail
« Ответ #27 : 08 Января 2007, 14:05:14 »

"Тот ученый считается настоящим который может объяснить суть своего открытия даже обычной кухарке."
Резерфорд
Достойный пример: статья нашего Юрикса RUSSIAN FIREWALL написана настолько простым и доступным языком, что её поймёт даже ребёнок.
А вышеуказанную статью Собецкого понял даже прокурор, вообще неразбирающийся в компьютерах! Подмигивающий Веселый
Записан
gur
Гость


E-mail
« Ответ #28 : 08 Января 2007, 14:08:56 »

Именно логи являются вещественным доказательством совершения виновным лицом виновных действий.
Да, именно так и есть.  Веселый Логи являются вещ.доками, содержащими следы преступления.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #29 : 08 Января 2007, 15:25:31 »

Честно говоря, в статье много спорных моментов.
к тому что писал ранее:
Цитировать
сведения о защищённости системы, её проверке на наличие вредоносных программ;
Прикололи. Долго смеялся. Николай Николаевич, Вы какой-то конкретный антивирус имеете в виду?


Цитировать
Степень строгости и подробности зависит от возможностей следствия и от судебной практики. Автор предлагает три варианта, отличающиеся подробностью и строгостью доказывания – нестрогий, промежуточный и строгий. Назовём их соответственно...
Надо бы указать, что тем не менее, все три варианта должны выполнять требования УПК, а именно не уничтожать и не  изменять  свойств исследуемых (осматриваемых) объектов (в нашем случае данных находящихся на накопителях информации). А , следовательно, при  осмотрах  необходимо использовать либо аппаратные / программные блокираторы записи, либо монтировать исследуемые/осматриваемые носителе в режиме "read only".

Из статьи не совсем понятно, сервера в каком состоянии, с целью изъятия логов,  предлагает осматривать автор: работающие или выключенные. Согласитесь, подходы к осмотру работающего (функционирующего ) сервера и выключенного сервера - различны.

Urix
Цитировать
Николай Николаевич! Я один умный вещь скажу, только ты не обижайся. ...
Чем дольше статью читаю, тем больше с Urix  соглашаюсь.
« Последнее редактирование: 08 Января 2007, 15:44:53 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Страниц: 1 2 [3] 4 5 ... 7   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines