Форум ''Интернет и Право''
28 Марта 2024, 14:56:00 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 3 [4] 5 6   Вниз
  Печать  
Автор Тема: Доказательства по Компьютерным Преступлениям  (Прочитано 21733 раз)
H.F.M.
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 26


С любовью к ближнему


« Ответ #30 : 16 Апреля 2007, 15:36:18 »

Производители ПО не заинтересованы следовать стандартам, установленным какими-то тупыми прокурорами какой-то далёкой России.
Я не имею в виду тотальную сертификацию всего ПО и обязательную установку на все ЭВМ, а только добровольную, так же, как и с сертификацией средств защиты информации.

Корректность и неизменность логов зависит не только от логирующей программы и процедуры съёма информации. Но и от кучи иных факторов.
Например? Мне просто интересно, отчего ещё это может зависеть? (может быть я не знаю - потому что не гуру программирования?)

Могу на конкретном примере доказать - что было - и что восстановили.
В смысле? Предоставить НЖМД и восстановленную с него информацию? Или как?
« Последнее редактирование: 16 Апреля 2007, 15:52:05 от H.F.M. » Записан
gur
Гость


E-mail
« Ответ #31 : 16 Апреля 2007, 17:50:01 »

Например? Мне просто интересно, отчего ещё это может зависеть? (может быть я не знаю - потому что не гуру программирования?)
Вы читали указанную мной статью http://www.itsecurity.ru/press/technology/p03_1.htm?
По моему, автор, достаточно детально отразил все моменты  этого вопроса.  я считаю правильным мнение о том, что если порядок выемки/ изъятия лог файлов был соблюдён, то приобщение лог файлов в качестве доказательств, как правило, обжаловать не удаётся. Вот только на практике я столкнулась ещё с одним моментом – следователи, прокуроры зачастую не знают, либо не хотят знать порядок проведения следственных действий по изъятию лог-файлов. Помимо заявления ходатайства относительно выемки лог-файлов мне приходится разъяснять эту процедуру.  Много возражений со стороны следователей было относительно компетентных понятых, так как «обычных» иногда трудно найти, а тем более «грамотных». Но есть правовой механизм, который содержится в УПК и в некоторых локальных актах Ген. прокуратуры и МВД, позволяющий это сделать. Правда, во многих случаях – это довольно долго, муторно и тяжело. Но что делать? Приходится как-то бороться с некомпетентностью сотрудников. Именно квалифицированные сотрудники ПО и привлечение специалистов, СМИ позволяют эффективно бороться со всеми правонарушениями в сети Интернет. И не надо придумывать новоё Интернет законодательство. В этом вопросе я также согласна с Собецким И.В. – «В действительности практически все вопросы взаимоотношений между пользователями компьютерных сетей и телекоммуникационными компаниями могут быть решены в рамках традиционного гражданского, административного и даже уголовного права». Только процессуальное право надо усовершенствовать на основе судебной практики РФ и других стран.  Подмигивающий
В смысле? Предоставить НЖМД и восстановленную с него информацию? Или как?
НЖМД конечно не смогу, сами понимаете почему, а вот противоположными результатами КТЭ - да, правда без конкретики (Ф.И.О. эксперта, данные ЛСЭ, № уг. дела и др.).

Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #32 : 16 Апреля 2007, 18:14:51 »

НЖМД конечно не смогу, сами понимаете почему, а вот противоположными результатами КТЭ - да, правда без конкретики (Ф.И.О. эксперта, данные ЛСЭ, № уг. дела и др.).

Как сказал на одном из форумов  los2:
"Докажешь свои утверждения на практике?К пример, я выложу образ дискеты или flash disk предварительно сделав один проход(программу которой будут удаляться данные укажу)а ты попробуешь восстановить в более-менее удобоваримом виде."
 Подмигивающий Смеющийся
« Последнее редактирование: 16 Апреля 2007, 18:15:39 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
gur
Гость


E-mail
« Ответ #33 : 16 Апреля 2007, 19:14:46 »

"Докажешь свои утверждения на практике?К пример, я выложу образ дискеты или flash disk предварительно сделав один проход(программу которой будут удаляться данные укажу)а ты попробуешь восстановить в более-менее удобоваримом виде."
 Подмигивающий Смеющийся
я ещё не волшебник, я только учусь Подмигивающий  Улыбающийся
нет я не хочу быть гуру программирования Подмигивающий - я же всё-таки юрист, но разбираться в технических ньюансах обязана - поэтому и общаюсь с удовольствием с хакерами, кракерами, специалистами по информ. безопасности  Подмигивающий Веселый
как говорил Юрикс, хак может расследовать только хакер.
Записан
H.F.M.
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 26


С любовью к ближнему


« Ответ #34 : 16 Апреля 2007, 20:42:17 »

Вы читали указанную мной статью http://www.itsecurity.ru/press/technology/p03_1.htm?
Да, статья довольно интересная. Осталось только найти примеры из судебной практики - и мне больше ничего, собственно, по логам, и не надо :-) Только вот первоисточник на другом сайте, но это не столь важно.
а вот противоположными результатами КТЭ - да, правда без конкретики (Ф.И.О. эксперта, данные ЛСЭ, № уг. дела и др.).
А, собственно, что входит в эти результаты?

И всё таки вопрос насчёт "кучи иных факторов" к Николаю Николаевичу Федотову - мне всё-таки хотелось бы узнать по подробней, т.к. не совсем понимаю, какие они, эти факторы? Хотя бы ссылочку на статью/книгу/форум и т.д.
Цитировать
как говорил Юрикс, хак может расследовать только хакер.
Хакером можешь ты не быть, но знать как они это делают - обязан :-)
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #35 : 16 Апреля 2007, 21:15:27 »

Корректность и неизменность логов зависит не только от логирующей программы и процедуры съёма информации. Но и от кучи иных факторов.
Например? Мне просто интересно, отчего ещё это может зависеть? (может быть я не знаю - потому что не гуру программирования?)
Например, логирующая программа работает совершенно корректно, имеет сертификат на НДВ. Добросовестно передаёт логи лог-серверу syslogd. Предположим, syslogd тоже имеет сертификат. Только вот между ними встроился руткит, который некоторые сообщения изымает.

Процедура изъятия тоже соблюдена - компьютер проверили новейшим антивирусом, в базе которого сигнатура этого руткита появится только через месяц, как это обычно бывает (впрочем, и в этом случае руткит не будет обнаружен, если только он активен в момент проверки).

Итог: программы имеют справки, процедура соблюдена, а логи-то - неверные.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
H.F.M.
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 26


С любовью к ближнему


« Ответ #36 : 16 Апреля 2007, 21:48:16 »


 Только вот между ними встроился руткит, который некоторые сообщения изымает.

Итог: программы имеют справки, процедура соблюдена, а логи-то - неверные.
Вот Вы к чему. Но это уже вопрос системы защиты информации. ИМХО
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #37 : 17 Апреля 2007, 12:44:20 »


 Только вот между ними встроился руткит, который некоторые сообщения изымает.

Итог: программы имеют справки, процедура соблюдена, а логи-то - неверные.
Вот Вы к чему. Но это уже вопрос системы защиты информации. ИМХО
Нет, это вопрос сертификации и процедуры. Следует понимать, что наличие сертификата, как и соблюдение процедуры не гарантирует от ошибок. А всего лишь уменьшает вероятность их возникновения. Причём, не сильно уменьшает. Поэтому логика "есть сертификат - принимаем логи, нет сертификата - не принимаем" является недопустимой.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
H.F.M.
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 26


С любовью к ближнему


« Ответ #38 : 18 Апреля 2007, 17:23:22 »

Поэтому логика "есть сертификат - принимаем логи, нет сертификата - не принимаем" является недопустимой.
На мой взгляд, этот вопрос всё-таки дискуссионный.

P.S. Кто-нибудь сталкивался при расследовании компьютерных преступлений с тем, что после узъятия у подозреваемого НЖМД он оказывался зашифрованным? Если да, то как из этого положения выходили? И какие алгоритмы (программы) использовались для шифрования в данном случае?
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #39 : 18 Апреля 2007, 17:37:24 »

P.S. Кто-нибудь сталкивался при расследовании компьютерных преступлений с тем, что после узъятия у подозреваемого НЖМД он оказывался зашифрованным? Если да, то как из этого положения выходили? И какие алгоритмы (программы) использовались для шифрования в данном случае?
Представили диск. Диск оказался зашифрован супер-пупер прогой. Созвонились со следователем и объяснили ему что он может сделать со своим УД если он не вытянет из подозреваемого пароль. Через два дня пароль был следователем представлен.

И вообще. Вы первоисточники читать не пробовали?

http://foto.radikal.ru/f.aspx?i=6ab7e927a7014b1aad5bda9a55da07b9
« Последнее редактирование: 18 Апреля 2007, 18:07:43 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Страниц: 1 2 3 [4] 5 6   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines