Форум ''Интернет и Право''
14 Ноябрь 2019, 22:30:31 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 [2] 3 4   Вниз
  Печать  
Автор Тема: Возможность фальсификации доказательств  (Прочитано 10425 раз)
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #10 : 01 Февраль 2010, 23:54:41 »

Вряд ли это возможно. Хотя бы потому, что даже самые-самые forensically sound дистрибутивы Linux в некоторых случаях могут вносить изменения в исследуемые данные. И, вероятно, придется очень долго ждать, когда хотя бы 90 % судебных дистрибутивов будут "пуленепробиваемыми".
Encase  уже года два-три как в ходе клонирования создает хеши для каждого файла в образе+для цепочки клонированных секторов в образе. Поэтому в случае повреждения (случайного или умышленного) образа всегда можно сказать какие данные в образе подверглись изменению и не исследовать их. Или исследовать, но в выводах оговориться, что исследованные данные были изменены поэтому результаты могут быть недостоверны или сфальсифицированы.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #11 : 02 Февраль 2010, 00:11:34 »

Собственно вопрос к экспертам. Трудно ли, по вашему мнению, подделать доказательства, извлекаемые из компьютера? Скажем, установить необходимые программы, скопировать порнографию, тексты экстремистского содержания и так далее, а затем придать этому всему правдоподобность (изменить дату, время и т.д.). И как при этом контролируется проведение компьютерно-технической экспертизы?

Было у меня такое дело. Защита утверждала, что в промежуток времени между изъятием компьютера и КТЭ на диск была записана информация, которая затем легла в основу обвинения. Эксперт не исследовал вопрос, когда и кем она была записана. Защита добилась назначения дополнительной экспертизы. Но следователь поручил её милицейскому эксперту, который все вопросы защиты по поводу "когда" и "в какой последовательности" умело обошёл. Когда я последний раз общался с участниками дела, защита писала ходатайство о третьей, повторной экспертизе. У меня есть серьёзные основания полагать, что когда (и если) они добьются повторной, жёсткий диск компьютера окажется процарапанным гвоздиком.

В этом плане компьютерная экспертиза мало отличается от любой другой. Везде есть возможность изменить следы, потом найти следы изменения следов, изменить их и так далее.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Сitizen
Посетитель
*
Офлайн Офлайн

Сообщений: 43



« Ответ #12 : 02 Февраль 2010, 00:44:42 »

Цитировать
Вообще имела бы смысл технология создания образа диска с составлением полных контрольных сумм этого образа в присутствии подозреваемого с передачей ему контрольных сумм. Ну, или что-то подобное...
Вряд ли это возможно.
В данном случае это и нецелесообразно. Не следует просто передавать контрольные образцы кому бы то ни было, а тем более заинтересованным лицам. Должна подразумеваться невозможность, как минимум, незаметного изменения этих образцов.

У меня есть серьёзные основания полагать, что когда (и если) они добьются повторной, жёсткий диск компьютера окажется процарапанным гвоздиком.
На мой взгляд, это можно будет считать победой стороны защиты, поскольку доказательства будут испорчены, а соответственно нельзя будет что-либо достоверно утверждать.

В этом плане компьютерная экспертиза мало отличается от любой другой. Везде есть возможность изменить следы, потом найти следы изменения следов, изменить их и так далее.
Ну, хоть какой-то контроль существует? Как, например, обязательное присутствие понятых при проведении проверок, опечатывание имущества при транспортировки. Я, конечно, понимаю, что абсолютной защиты существовать в принципе не может, но все же.
« Последнее редактирование: 02 Февраль 2010, 01:40:36 от Сitizen » Записан

Все сказанное в этом сообщении является моим субъективным мнением и должно оцениваться критически. Просьба сильно не "пинать", если это сообщение или какая-либо его часть кажется Вам полной ахинеей.
Антон Серго
Администратор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7029


Юридическая фирма "Интернет и Право"


WWW E-mail
« Ответ #13 : 02 Февраль 2010, 02:15:09 »

Дано: НЖМД с единственной установленной ОС (Windows 7).
Задача: залить туда ПО с "признаками контрафактности" и всяких разных картинок.
Вы не поверите - но задача решится без труда.
1. В системе меняется дата на момент пока ПК был в Ваших руках.
2. Туда добавляется все, что закажете.
"Экспертиза" установит, что все это было у Вас.
Хотите поспорить? Не стоит.
Эксперт найдет, все что захочет.
Судья - не технарь, заключения эксперта ему будет достаточно.

Поймите очевидную вещь: Вы пытаетесь что-то доказать, на основе глубокого технического изучения предмета обсуждения. судья - гуманитарий, он юрист, он будет смотреть на ситуацию по бумагам. есть заключение эксперта - есть вывод, все ясно.

Цитировать
Я уверен, что даже продвинутый гик не сможет предложить решение задачи, при котором не остается ни одного типичного следа фальсификации. Хотите опровергнуть? Подмигивающий
Возможно их будет много, но на решение суда то никак не повлияет.

P.S. Я никогда не встречался  с такими экспертами и даже не знаю, существуют ли они в природе. Надеюсь, что нет, но на вопрос я Вам ответил.
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #14 : 02 Февраль 2010, 02:20:33 »

Цитировать
Поймите очевидную вещь: Вы пытаетесь что-то доказать, на основе глубокого технического изучения предмета обсуждения. судья - гуманитарий, он юрист, он будет смотреть на ситуацию по бумагам. есть заключение эксперта - есть вывод, все ясно.

Увы, речь шла про возможность обнаружения фальсификации при проведении N+1 экспертизы.
Записан
Антон Серго
Администратор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7029


Юридическая фирма "Интернет и Право"


WWW E-mail
« Ответ #15 : 02 Февраль 2010, 02:36:56 »

Цитировать
Увы, речь шла про возможность обнаружения фальсификации при проведении N+1 экспертизы.
А, тогда соглашусь, что совсем бесследно это сделать неполучится.
Я думал, Вы о практике.
Записан
Сitizen
Посетитель
*
Офлайн Офлайн

Сообщений: 43



« Ответ #16 : 02 Февраль 2010, 02:50:53 »

Поэтому у вас не получится скопировать на подключенный носитель с NTFS пару файлов, а затем изменить их временные метки без каких-либо следов.
В таком случае изменим исходные условия задачи. Предположим, что некоторые меры были приняты до копирования на диск поддельных доказательств (были изменены системная дата и время).
Записан

Все сказанное в этом сообщении является моим субъективным мнением и должно оцениваться критически. Просьба сильно не "пинать", если это сообщение или какая-либо его часть кажется Вам полной ахинеей.
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #17 : 02 Февраль 2010, 02:57:49 »

Поймите очевидную вещь: Вы пытаетесь что-то доказать, на основе глубокого технического изучения предмета обсуждения. судья - гуманитарий, он юрист, он будет смотреть на ситуацию по бумагам. есть заключение эксперта - есть вывод, все ясно.
За N-ое количество лет работы в данной области, ни разу не встретил в постановлении о назначении экспертизы вопрос (поставленный следователем или обвиняемым/ подозреваемым) к эксперту о том, вносились ли на изъятый носитель данные или производились ли иные изменения информации, содержащейся на носителе, после момента его изъятия.

А придумывать вопросы себе сам эксперт, в ходе производства экспертизы, не в праве.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #18 : 02 Февраль 2010, 03:01:11 »

Предположим, что некоторые меры были приняты до копирования на диск поддельных доказательств (были изменены системная дата и время).
Если мы рассматриваем файловую систему NTFS, осталось только придумать как переписать жесткие ссылки (hard link). В чем я вам искренне желаю удачи Смеющийся
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #19 : 02 Февраль 2010, 03:12:07 »

Цитировать
P.S. Было бы неплохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите этого делать в силу каких-то определенных причин, то я Вас пойму.

Цитировать
В таком случае изменим исходные условия задачи. Предположим, что некоторые меры были приняты до копирования на диск поддельных доказательств (были изменены системная дата и время).

Спасибо за понимание Улыбающийся
Записан
Страниц: 1 [2] 3 4   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).
Rambler's Top100

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines