Как защититься от подделки доказательств на компе?
Этот вопрос навеян соседней темой[link1].
А как можно защититься от подделывания доказательств в информационной сфере???
Допустим, завели дело, получили ордер на изъятие компов, забрали компы, составили протокол изъятия, а дальше что? Как с ними "работают" потом и кто это контролируется?
Как это происходит в "реальном мире", можт кто-нибудь ответить?
Допустим на компе есть контейнер, допустим они не смогли его открыть, что им мешает просто записать туда свой такойже контейнер со сфабрикованными данными?
Може в случае с бух. учетом это сделать сложно (?), ну а если там данные "попроще"? Что-то не могу придумать нормального примера, вот только такой: например, а нас всяких RIAA и MPAA нет, но если бы были, то могли бы в контейнер положить кучу музыки и несколько последних новинок из фильмов.
Ссылки
[link1] http://www.pgpru.com/forum/politikapravorealjnyjjmir/ugolovnoerassledovanievvengrii
[link2] http://fwdepot.com/thestore/product_info.php/products_id/1086
[link3] http://www.yandex.ru/yandsearch?rpt=rad&text=%EF%EE%F1%F2%ED%E5%EA%EB%E0%F1%F1%E8%F7%E5%F1%EA%E0%FF%2B%F0%E0%F6%E8%EE%ED%E0%EB%FC%ED%EE%F1%F2%FC
[link4] http://www.rambler.ru/news/it/0/12663879.html
[link5] http://blog.wired.com/27bstroke6/2008/04/microsoft-gives.html
А у нас они (сволочи) есть, но от таких фишек можно надежно защититься.
Когда у меня в ходе следствия конфисковали комп и usb-брюлок, то я сделал следующее: во-первых, составил полный список деталей в компьютере и внес его в протокол. Вызвал экспетра, чтобы тот рассчитал при помощи своего ноутбука хеш имиджев дисков компютера и брюлка. Потребовал опечатать как компьютер так и брюлок (с которого предварительно была сделана копия на ноутбук эксперта). Хеши занесли в протокол. Тут мне эксперт немножко отомстил за занудство, и велел записать все 64 символа хеша SHA256 в протокол. Ну да Бог с ним.
Кстати, веселая история: когда я пришел в полицию за своими вещами (я при помощи адвоката добился их скорейшего возвращения), я, шутя, сказал полицейскому, что надеюсь, они не подделали доказательства и не записали мне какой-то троян keylogger на брюлок: давайте, проверим хеш! Он не сразу понял, что я хочу, но я ему обьяснил (в несколько заходов), что такое хеш и зачем мы его в протокол вносили. Когда до него дошло, он аж засиял. Понял, какая это полезная вещь и что сейчас он научился чему-то важному в киберкриминалистике.
Проверяем хеш брюлка. Не совпадает с протоколом! Мент побледнел. Я звоню адвокату, он звонит эксперту и требует, чтобы тот немедленно явился и решил проблему. Когда эксперт просто хотел восстановить из записанного имиджа (с правильным хеш-значением) брюлок, я запротестовал и потребовал для начала посмотреть и записать в протокол, в чем разница.
А разница оказалась вот в чем: появилась пустая директория мусорного ящика windows. :-) Дело в том, что полицейский (на всякий случай) сделал нескольо пофайловых копий с брюлка на своем компьютере, а windows открыл на монтированной файловой системе новую директорию для мусора. Я ведь windows не пользуюсь! Еще повезло следователю, что у него не оказалось какого-то вируса на компьютере, который переселился бы на мой брюлок, а то мой адвокат отделал бы его по полной программе.
Мораль: нанимайте быстро адвоката, настоите, чтобы записывали хеши имиджев в протокол, и вообще, качайте права, чтобы знали, с кем имеют дело.
К стати, я хотел об этом уже давно написать, но только сейчас появился дополнительный повод. Хеш-функция — мощный инструмент в руках Фемиды. :-)
Да, грамотно!!!
Тоже думал именно в этом направдении.
Или полная копия имиджа всего диска к нотариусу, например, но непонятно как это записать в протокол. (?)
Но, к сожалению, или наоборот, к несожалению, мы (я) живем в России. А это "два большие разницы", как "скажут в Одессе"! Здесь все несколько отличается от цивилизованного мира.
Непонятно как такой процесс проходил бы у нас, даже представления не имею.
Конечно, если при этом действии присутствует хороший адвокат, это есть очень гут. И возможно такой вариант прокатит даже у нас.
А есть ли у нас какие-то процессуальные (интересно, я к месту это слово употребил ;)) нормы, как должно производиться изъятие данных на компах, или на других носителях??? Посколько без серьезной правовой поддержки (те адвоката) заставить их (те ментов) сделать себе такой укорот (записать хеш диска) невозможно.
Сам же отвечу на свой вопрос: думаю что таких норм нет. Ну скажите пожалуйста, что я ошибаюсь!?
И еще несколько мыслей.
Даже если удалось их заставить сделать такое, какую правовую силу будет иметь такая запись в протоколе? Не будет ли признана судом (!) такая "весчь" не имеющей доказательной силы? Или типа того.
PS Имидж для подсчета хеш, как я понял, нужно снимать полный, те каждый физический сектор диска. Никакие файловые копии (ф5 в фаре) или копии заполненных класторов в файловой системе не прокатывают, тк потом они все равно "найдут" "что-то свое" или в хвостах секторов или еще в какой неразмеченно области.
Д. Надь, ценнейшая информация!
Ровно так же. Процедура аналогична, и права Вы имеете в общем идентичные.
Если процедура будет проведена без привлечения незавимимого эксперта, она не будет иметь юридической силы. Эксперт при необходимости должен предоставить в суде независимое свидетельство о ходе и результатах процедуры.
Ну да, сохраняете образ диска в файл и обсчитываете хэш-значение этого файла.
type, я не случайно на первом месте написал нанять адвоката. И быстро. Это самое важное. А он уже позаботится о том, чтобы ваши права были соблюдены и чтобы все доказательства были собранны таким образом, чтобы они устояли перед судом.
Не занимайтесь самодеятельностью и не скупитесь на адвоката; дороже обойдется! По ряду причин, в отличии от следователя, адвокат поймет, что такое хеш-функция с первого раза, даже если до этого он не знал.
Да, имиджи снимаются со всего диска, включая таблицу разделов, бут-сектор и все остальное. Если у эксперта нет достаточного места для копии, то все равно можно его попросить снять хеш, чем-то вроде
Д. Надь Действительно, очень полезные сведения!!! Спасибо! Такие вещи нужно знать всем.
Ни коим образом не думал заниматься самодеятельностью, просто интересно. Согдасен, что самое правильное в таких ситуациях – это нанять хорошего адвоката! Но и самому нужно знать что-к-чему. ;)
А на практике, как все будет происходить, вот наведывается полиция, вы вызываете адвоката, он приезжает, и т.д. Можно поподробнее? И где брать эксперта?
В России все попроще. При изъятии компьютера он опечатывается печатями и подписями его владельца. (опечатываются все разъемы и снимаемые блоки (т.е. боковые крышки, морда "системника" и и.т.д.). Далее, при проведении экспертизы изятого блока повесткой вызывается его владелец (представитель владельца), и в пристутствии понятых пломбы срываются, системник подключается к необходимой перефирии и с ним производятся необходимые следственные мероприятия. Ваше право внести в протокол все замечания по работе эксперта (а в его интересах этих замечаний не допустить), как то вставка различного вида носителей (дискета, диск, флешка), подключение Вашего ПК к локальной сети и.т.п. Все это потом вам же и поможет (например на вопрос следователя "как на вашем ПК оказался файл с данными кредитных карт "bank of NY" :-D всегда можно ответить что – "в процессе обследования системного блока эксперта, несмотря на мои протесты была подключена флешка с якобы необходимым ему в работе ПО, что и было зафиксировано в акте осмотра и зафиксировано понятыми. Я считаю что это ПО было заражено вредоносными программами которые скопировали данные с флешки мне на жесткий диск." Пусть потом эксперт доказывает что это не так :-) )
Kак же тогда в России можно отследить подключение по wi-fi ? :(
Отключите сетевой адаптер при изъятии. Или потребуйте заблокировать всю сетевую функциональность в ОС.
Наверно есть какие-то инструкции по изъятию, проведению следственных действий в комьютерной сфере, я поискал ничего конкретного не нашел, никто не может дать ссылочку?
Ага, а следователь скажет, что эти действия могут запустить вашу систему самоуничтожения информации (и может ведь оказаться прав! :)
насколько я знаю, никакого сертифицированного ПО для снятия образов дисков, для подсчета контрольных сумм нет. И стандартизированной процедуры для этого нет. Все эти вещи определяет самостоятельно эксперт. И тут уже просто вопрос доверия судьи этому эксперту.
Маразм. В спорной ситуации предварительно изготовляется копия данных.
Нет такой категории. Судебный эксперт обладает полным доверием со стороны суда в области его экспертизы. В противном случае узкоспециальные области знания в судебном заседании невозможно было бы оценить. Эксперт, со своей стороны, заинтересован, чтобы его экспертизу минимально ставили под сомнение и оспаривали участники процесса.
Владелец программы изготовления копии данных всё равно находится под подозрением...
В смысле, подозреваемый? Так он этим и не должен заниматься (ему, разумеется, никто не позволит), это задача эксперта. Читайте начало обсуждения.
Сертифицированное ПО для подсчета контрольных сумм есть. Правда не всего диска, а отдельных файлов. Называется ФИКС 2.0
Образ диска — это такой же файл, как и все остальные.
В основном в этой теме, как я понял, главный подозреваемый – это как раз эксперт и то ПО, которое он применяет. Защите и обвинению нужно придти к согласию о методике получения и применения ПО для получения контрольной суммы, например, скачать из случайно выбранного интернет-кафе общеизвестного ПО (желательно с открытыми исходниками) с общеизвестного сайта.
В предыдущем посте вместо слов "общеизвестного ПО" следует читать "общеизвестное ПО".
А ещё, при съёме контрольной суммы может помочь аппаратный перевод жесткого диска в режим "только чтение", если такое, конечно, возможно.
Насчет снятия образа диска могу придумать два варианта.
1. Использовать контроллер или внешнее устройство, которое обеспечивает read-only для жесткого диска, с которого снимается образ.
Вот нашел несколько таких http://www.cooldrives.com/usb20toatast.html , http://www.cooldrives.com/fii13toatast.html , http://fwdepot.com/thestore/pr.....php/products_id/1086[link2] , http://www.shop4tech.com/item3825.html .
Но остается вопрос доверия к этому устройству, тк "эксперту" ничего не мешает вытряхнуть внутренности из этого устройства и сделать его вполне read-write.
2. Второй вариант более простои и ИМХО более правильный.
Берется обычный комп, на котором нет никаких запоминающих устройств (hdd, флэшек), нет сетевых интерфейсов (wi-fi, синий зуб, к обычной сетевухе кабель не подключен). Те только мать, проц, мозги, видюха. Но на компе есть cd привод. Берется загрузочный CD с Linux, (!) скачанный с офф. сайта(!), и из под этой системы делаются все операции – но сначала подсчет md5 образа диска.
Но для этого нужно гарантировать, что LiveCD не содержит никаких доп. программ, скриптов и "подготовленных данных", те что загрузка была произведена именно с оффициального дистрибутива, скачанного с сайта и без всяких модификаций. Но думаю этот вопрос решаем (взять у "эксперта" его LiveCD и обсчитать md5 на своем компе).
Если же нужно сделать образ с диска и скопировать его на другой винт для "экспериментов", то сначала снимается md5 исходного диска, перезагружаются, подключается второй диск, копируется на него образ и еще раз проверяется md5.
Вообщем, думаю что загрузка с ОФФИЦИАЛЬНОГО LiveCD с Linux может гарантировать, что на винте не появятся сфабрикованные данные (откуда им взяться в офф. дистрибутиве?, а все интерфейсы кроме клавиатуры отключены, разве что будут "от руки набивать" компромат ;))
Но наверно слабые места есть и в этой схеме?
это всё конечно так, но я плохо представляю как в реальной ситуации подозреваемый будет качать права про ливсиди с линуксом и т.д. :))) Они его просто пошлют нах и всё. Более того, почти все эксперты или там управление К или чего там... они окромя винды мало что вообще в жизни видели. На своих рабочих компьютерах используют винду даже сотрудники ФБР. Если они заинтересованы, они просто поставят своего эксперта и при надобности дозапишут на диск всё что нужно, а судья прримет то решение, которое нужно. Эта задача из категории безграмтных оценок в приближении: если вы разолагаете функцию в ряд, то выкидывать 2-й член и бороться за 10-й глупо. Как показывает практика, поправка связанная с "личным субъективным мнением судьи по этому вопросу" будет куда более решающей чем 100 оговорок за или против экспертизы. Те, кто вообще сталкивался с милицией, поймут.
Россия живёт "по понятиям", законы для неё не писаны. Отсюда надо и исходить... В конечном счёте доказательность тех или иных аргументов принимают на веру под действием интуиции. В пределе ничего нельзя доказать: можно на суде выступить, и завяить, что судье заплатили и он подставной, свидетели подставные, а экспертиза была заинтересована. И прецедентов тому миллион. Не буду вдаваться в политическую сторону дела, что же касается конкретной реализации судебного процесса и всех там апелляций, вспомните дело юкоса. Не md5 решает судьбу, и даже не sha1.
Это в воровском мире живут "по понятиям", а то, что творится в ментовской сфере, это беспредельшина!
Вот я и хочу получить схему действий в ! Реальной! Ситуации, чтобы насуде не пришлось "оправдываться". Как происходит изъятие – приглашают понятых и они типа смотрят чтобы менты не "добавили" что-то свое, хотя это нисколько не мешает им частенько подбрасывать наркоту при обысках или задержаниях. А в Информационной сфере за "экспертом" вообще никто не наблюдает и не контролирует его работу, и если он что-то свое запишет ко мне на диск, это потом даказать будет АБСОЛЮТНО невозможно.
Слишкомутрировать имхо тоже не стоит, а то можно договориться до того, что все люди умирают, так какая разница?
Spinore, а Вы можете сказать, как это происходит "у нас" на самом деле?
А вот еще что. Одно дело, когда информация с компа не нужна для доказательства чего-либо в суде, а нужна только для оперативных мероприятий, те на суде она может вообще никак не фигурировать. А вот если "они" собираются что-то доказывать с помощью этой информации или сама инфа является доказательством, вот как тогда быть?
"Если не смотреть на звёзды, как ориентироваться ночью?"
У меня, к счастью, ничего не изымали. Сказать не могу. С судом сталкивался в детстве: для того чтобы посадить шантажиста который вламывался в нащш дом, мать нескольо раз ходила к участковому прямо домой, и просила его прийти к нам и выпроводить гада. Его кое как посадили. И срок ему дали только за то, что я указал на единственный эпизод, когда он махал ножом возле лица моей матери. А иначе он бы и до сих пор гулял на свободе, а нас бы и в живых ннаверое не было.
Помню ещё один случай с изначилованием. В подробности вдаваться не буду, но не преувеличивая скажу что следствие по делу быстро сводится к разговору "Да ты его сама изнасиловала, он бедный не знал как от тебя отбиться". Его нашли, допрашивали... Даже до суда не довели. В милиции – полный беспредел. Ещё помню в школе сталкивался: кроме как инспектор обидчикам пальчиком погрозил, реальных сдвигов тоже не было, а могли бы и в спецшколу сдать, и в колонию... Когда у нас соседи увели корову, и пришли милиция показания снимать, те пили с нашими соседями, которые украли корову, посылали их за водкой, а одна женщина из соседей в это время натаптывала следы на снегу, куда якобы эту корову повели. Всё это серди бела дня, у всех на глазах. Менты смотрели на эти следы и показывали их нам :) О КАКИХ формальностях вы теперь говорите? Если судья решит что надо, значит надо. Здесь прав тот, у кого автомат. Давно пора вам с этим смириться. Я интересовался у народа в инете, что делаают копы когда не могутподобрать пароль. Они начинают придуриваться, и пороть херь о том, что якобы таких и прецедентов не было: онир у нас умные, + телепаты, они либо ломают пароль программами, либо угадывают :) Причём сколько я судебных действий не читал, ни разу не помню случая, чтоб следователи пожаловались на зашифрованный раздел и закрыли дело. Единственный подобный прецедент я слышал, был в Англии. Можете поспрашивать у народа вот здесь: http://internet-law.ru/ Они там все юридически-подкованные, соображают как с вами расправиться. Собственно, по поводу следствия вам уже сказали: надо снять md5 с диска и записать его в протокол. Но никаких гарантий это не даёт. Вы о каких-то абстрактных вещах говорите, в то время как в москве ежедневно насилуют и убивают людей в метро, об этом писали.... А потому я бы посоветовал сосредоточиться на том, чтоб дело не дошло до изъятия ваших вещей.
Да. Насколько я могу судить, по одному единственнуму случаю, и то не со мной, при зашифрованном разделе, когда пароль не подобрали (если вобще подбирали) в отчете эксперта, на суде, было написано, что на диске N Гб зашифрованной информации. Так же слышал про отчеты эксперта со списком всех файлов пк. Те, которые могли быть использованы для незаконных действий были отмечены.
P. S. По поводу экспертов. Не будут они никаких хэшей снимать, тем более с использованием LiveCD Linuх с офф. сайта. Суд и без того верит эксперту в любом случае. Эксперт даст какое-либо заключение для суда. Чтобы заключение считать неверным, нужно поменять эксперта. Это почти нереально. А так, основаниями для отвода эксперта являются: отсутствие достаточной компетентности в сфере компьютерных технологий; заинтересованность в исходе дела; если лицо является потерпевшим, истцом или ответчиком, их законным представителем или родственником; стороной или ее представителем, лицом, в отношении которого составлен протокол об административном правонарушении, а также родственником вышеуказанных лиц; если лицо участвовало в деле в качестве следователя, защитника, адвоката, обвинителя, свидетеля, переводчика, либо иные обстоятельства, дающие основание полагать, что лицо прямо или косвенно заинтересовано в этом деле; нахождение лица в служебной или иной зависимости от обвиняемого, потерпевшего, истца или ответчика или иных заинтересованных в решении дела лиц.
Сразу хочу сказать, что суд не посчитает отсуствием компетентности эксперта неснятие хэша.
Позаботьтесь об "отрицаемом шифровании". В английской терминологии это называется "deniable encryption" или "plausible deniability". Как её осуществить на практике, я пока не знаю. Можно поразбираться с томами TrueCrypt. Вам нужно сделать так, чтобы ваш диск для постороннего смотрелся как не имеющий шифрованнойинформации или чего-либо, её напоминающего. Реализация данной технологии плохо стыкуется с защитой от подделки диска: в ваше отсутствие могут так модифицировать программное обеспечение на диске, что вскроют существующие пароли, например, посредствов руткита. Вы застрахованы от такого риска в куда большей степени, если у вас зашифрован весь диск, но тогда сложно добиться "plausible deniability".
Мне кажется, что поидее должен. Хотя, строго говоря, судья и слов-то таких как хэш, не слышал. Он будет безоговорочно верить эксперту. В идеале система должна являть собой 4-компонентную защиту:
1. Анонимность в интернет.
2. Защита от силового получения пароля (см. тему "конкретный пример").
3. Защита от обвинения в сознательном сокрытии информации (plausible deniability)
4. Защита от модификации диска человеком, тайком получившим к нему доступ (защита от руткита).
Как соединить технически все эти компоненты одновременно в один ядрёный флакон, я пока не решил. Хотя задача интересная :)
Наверное, последовательное решение данной проблемы потребует установки Linux (так как под BSD TrueCrypt'а нет), установку системы заплаток SeLinux, + действия похожие на описанные в разделе "конкретный пример", + установку виртуальной системы (какой либо ОC [по-видимому, лучше OpenBSD, так как шифрование уже не понадобится]) на зашифрованный том в TrueCrypt под vmware.
Советую участникам прочитать УПК и изучить уголовный процесс, ибо последние заявления носят совершенно необоснованный характер. (В данном случае я оставлю за скобками судебную практику по т.н. "политическим делам", являющимся редкостными исключениями.)
Вспомните главный совет, приведённый Даниэлом в самом начале дискуссии: наймите адвоката! Существуют вполне конкретные процедуры обращения с вещественными доказательствами. Их освидетельствование и экспертное изучение должно проводиться согласно данным требованиям. Если обратитесь к практике, обнаружите уйму дел, где адвокат разваливал лучшие доводы обвидителей, если протоколы были нарушены. Если процесс обнаруживает процессуальные нарушения, подаётся протест. Если экспертиза кажется ангажированной, проводится повторная.
Вы же просто кричите "не верю!". Это неконструктивно и контрпродуктивно.
http://www.securitylab.ru/analytics/216313.php
В целом, хорошая и полезная статья для целей данной дискуссии, спасибо за ссылку. Правда, на мой взгляд, слишком много явной и неявной рекламы НИП "Информзащита", но оставим это на совести автора.
А кстати, интересно узнать, где искать адвокатов, которые действительно разбираются в IT, есть опыт ведения уголовных дел связаных с компьютерной информацией, с компьютерными преступлениями и т.д.? Насколько я понимаю, таких мало.
SATtva'у попроси :)
Нее, не надо меня просить, даже умолять не надо. Я не занимаюсь представительством уже сто лет. Только консультирую и помогаю с документированием некоторых процессов. Адвокатура — это особый бульон, в котором нужно вариться постоянно...
А все-таки, где и как искать? Google ничего хорошего не нашел, только адвокатов, которые специализируются на преступлениях в сфере компьютерной информации и еще 20-30 различным пунктам от износилований до штрафов гибдд, что называется делаю ВСЕ =) Из упоминаний в сети на форумах – только Князев, причем в плохом контексте и астрономической суммой за услуги.
А что вы хотите? Рекомендацию для конкретных людей или фирм? Это надо спрашивать у тех, кто сталкивался... В основном люди черпают информацию именно из интернета.
P. S.: у вас особо тяжёлый случай – от вас даже SATtva отказался :) Возможно, вам будет очень трудно найти :)
Это такой своеобразный комплимент в мою сторону? ;-)
наверно :)
http://internet-law.ru/
Совершенно верно, Гость!
Был у нас эпизод с изъятием серверов – опечатали корпуса "по периметру", расписались – все чин по чину... Когда технику вернули – в одном системнике вместо двух брендовых модулей памяти по 512MB стояло четыре нонейма по 256MB :). А кроме того, из двух Атлонов один не работал – мертвый был. Дальнейший осмотр показал, что этот сервер включался, а на умершем Атлоне хвост питания вентилятора проца был отсоединен от гнезда питания мамки (видимо, меняя память, своими граблями зацепили и сорвали – а после включения и проц гавкнул без охлаждения). При этом все печати на корпусах оставались на месте.
from Finist
вопервых потребовать заблокировать всю сетевую функциональность в ОС – это не гарантирует того что всеравно будет идти неугодный вам трафик(кому интересно – посмотрите как Рутовская при выключении сетки при помощи фаеров успешно юзает свой бекдор. и ничто не мешает в таких ОС как windows linux & BSD сделать тоже самое – т.к. не тот класс защищенности по оранжевой книге) Тут только выдернутый шнур поможет и отключенная wifi карточка.
еще мне сложно представляется использование md5 и прочих алгоритмов как опорных в снятии контрольных сумм. у нас(в россии) есть ГОСТ и все собственно. а того эксперта который будет юзать md5(я собственно не знаю как это делается, но его нада менять :) )
Кстати есть у нас и парочка(есть и более но я знаю только два) дистрибутивов linux которые сертифицированы по классу защищенности(а это уже чтото, хотя в обоих случаях – это только конфиденциалка).
Слудующий момент – нотариусы. Здесь тоже весело: по моим данным с января этого года нотариусам предписали(или рекомендовали) не выдавать документов, касающихся информации на электронных носителях, т.к. на коференции Интернет и Право специалистами-безопасниками было показано, что выводимая информаци на монитор – это не факт что это именно так информация(тут делается намек на развитую технологию руткитов.
Также согласен что в рунете есть форум на которых можно найти хороших адвокатов и наличие адвоката – _это крайне важный момент_(я например уже знаю кому буду звонить).
А про давление на суд, экспертов и адвокатов и прочее относящееся к беспредельщине – предлагаю заглянуть на zasudili.livejournal.com Там ну просто шикарный пример
В предыдущем посте – это "посмотрите как Рутовская при выключении сетки при помощи фаеров успешно юзает свой бекдор" необходимо читать "посмотрите как Рутовская выключая сетку при помощи фаеров всеравно успешно юзает свой бекдор"
а по красной?
хым, в красную не вчитывался. Хотя не реализация достаточного уровня защищенности на уровне сети или на уровне ОС – уже достаточный недостаток
и главный плюс и минус одновременно – стоимость таких ОС, тем более для частных нужд(кто задумался а не поставить ли мне такую ОС за счет конторы – забудьте, т.к. админ будет получать в несколько раз больше вас и факты установок таких ОС в России единичны из-за стоимости(исключения делаются, но оч редко и только тогда когда поставщики напрямую заинтерисованы, чтобы и на том конце стояла такая "штучка") и сложности
У меня нет никаких книг: ни красных, ни зелёных, ни голубых. И я думаю, что в достаточной мере защищён (против софтварных методов). оставим цветные книжки детям для раскраски.
Могли бы и с другими участниками поделиться...
кучу музыки
а как доказать, что это именно _я_ записал вот на этот "болтающийся на шлейфе кверх ногами винч, купленный летом на толкучке" эту "музыку"? Мне просто было лень сносить/чистить чью-то винду, ну валялось там что-то в "Мои Документы\Моя Музыка" Смотрим на дату создания файлов – позапрошлый год (эксперт, распишитьсь в протоколе). У _меня_ тогда ещё этого винча во владении _не_ _было_
Наговорить-то можно вообще что угодно. Только в определённых обстоятельствах как следствие, так и суд во всю эту ахинею могут и не поверить.
Кратко говоря, суд никогда не опирается на строгие формальные доказательства, благо они не возможны. Суд оценивает субьективно вероятность того, что всё было так-то, если эта вероятность не малая, то человек считается виновным. при этом, по формальным признакам, всегда есть вероятность в том, что он не виновен, даже без учёта намеренной несправедливости суда.
Не совсем. Суд призван оценить именно объективную сторону дела. Более того, в уголовном процессе все сомнения толкуются в пользу обвиняемого: если в судебном следствии не удаётся установить однозначную картину происшедшего, он подлежит оправданию.
В то же время суд вершится над людьми и силой одного человека или нескольких — судей. И когда нет объективных доказательств, однозначно следующих лишь одной линии, могут оцениваться и субъективные факторы: степень доверия свидетелям и пр. Суд — это не простой алгоритмический процесс. Значительную роль в нём играет психология всех участвующих сторон.
Могу ещё малость повыпендриваться:
В строгом смысле её нельзя установить никогда (математически). Более того, нельзя даже доказать или опровергнуть соллипсизм, который утверждает, что данный мир вообще не существует, существую только я, а то что я называю миром, есть всего лишь моё внутреннее воображение, существующее внутри меня.
Строго говоря их никогда нет.
Провожу аналогию: есть у вас эксперимент, и вы пытаетесь построить физическую модель исседуемого явления. Например, вы строите график, и смотрите, куда будут ложиться точки. Вы можете намерить миллион точек, и, предположим, все они могут лечь на одну прямую. Следует ли отсюда (в строгом смысле), что график линейный? Очевидно, нет. Теоретически, зависимость может быть сколь угодно извращёной – она всего лишь обязано пройти через указанный миллион точек. Грамотно же применив теорию стохастических процессов, можно в определённых случаях показать, что вероятность того, что это прямая – 99.9999, например, процентов. В данном случае принципиально, что это никогда не будет 100%. Аналогично и в судебном деле.
В тему анекдот вспомнился: число 60 делится на 1,2,3,4,5 и на 6. Значит, 60 делится на все целые числа. P. S.: юрист бы сказал, что "да" :)
Есть более красивые примеры в теории чисел, когда отклонения от модели приявляются действительно на "миллионпервой построенной точке". Функции же суда, если их формализовать и выразить правильным корректным языком, состоят всего лишь в оценке вероятности того, что подсудимый виновен.
Есть разница между математической обоснованностью и здравым смыслом. Поэтому, к сожалению, "технари" с "гуманитариями" так часто не находят общий язык. Сам постинг комментировать не буду, извините.
для spinore
тем и отличается доказательство в суде от математического.
чтобы что-то доказать в суде достаточно пару улик, мнения эксперта или пару свидетелей и логики судьи.
Что бы доказать математическии нужна формальная логика.
"Сомнение в справедливости понимания физической реальности в духе ЭПР представляется равнозначным отказу от здравого смысла. Только этим можно объяснить, что в своей работе ЭПР без всяких ссылок на несогласие с данными эксперимента или внутренние противоречия решились поставить под сомнение квантовую механику. Однако следует указать на одно существенное обстоятельство. И раньше здравый смысл иногда подводил исследователей, но..." © учебник Матвеева по физике для студентов.
Это к слову о здравом смысле, которому противоречит квантовая физика и теория относительности, например.
Мнение о том, что между гумманитариями и технарями есть пропасть тоже считаю не верным. Нам философию читал двойной кандидат наук: физмат наук и философских. Это было мощно :) Понимание в принципе не возможно без умения мыслить, без логики, а логика бывает только формальной, для гумманитариев это также справедливо.
2Гость (20/11/2006 10:54):
Согласен, это очевидно.
Подсудимый, попрошу прекратить демагогию на научно-философские и религиозные темы. Отвечайте только по существу, иначе будете удалены из зала до конца заседания. А если будете и дальше проявлять неуважение к суду, то до момента оглашения приговора.
unknown, не судите строго....
В этом месте протокольно-надменная рожа судьи отобразила подобие подозрительной ухмылки ;-/, приняла на миг более человеческое выражение, а затем снова стала надменной и пустой.
Адвокат покрутил пальцем у виска то ли в сторону слишком умного подсудимого (видимо намекая на психиатрическую экспертизу), то ли в сторону слишком тупых экспертов и начал мучительно вспоминать про хэши, биты, контейнеры и как это всё должно быть правильно занесено в судебный протокол.
А я что-то говорил о противоречиях? ;-) Я указал, что есть разница. Само собой, что формально-логическая обоснованность полностью вмещает в себя здравый смысл, но, как верно отметил Гость, научная точность в таких вопросах зачастую не требуется. Более того, вопросы вины вообще не могут рассматриваться с таких позиций, поскольку по природе своей субъективны. Но это уже слишком глубокое развитие темы...
Вот об этом я и говорю. Строгий формально-логических подход, если бы был возможен, дал бы лишь единственный ответ: "виновен" или "не виновен" (или true/false, если больше нравится), независимо от прошений проявить милосердие. Делать в подобной ситуации подобные просьбы было бы совершенно бесперспективно. Хорошо, что в реальном суде Вы не были бы столь ограниченны в средствах. ;-)
http://en.wikipedia.org/wiki/Computer_forensics
:)
А ещё бывает доказательство теоремы Гёделя и, как следствие, постНЕклассическая рациональность[link3]. ;)
Да, вы ещё про лемму Арцела вспомните :)
Вопрос: как защититься от подделки доказательств (в компе, или где угодно)
Ответ: а никак. Если надо, то вам подсунут все нужные доказательства, а на требования адвоката и на любые попытки качать права, будут отвечать ударами резинового демократизатора. Вот она, реалия жизни. Лучше не попадайтесь, вот вам мой совет. Если попались, то спасут только деньги и соответствующие знакомства.
Вопрос: есть ли разумная жизнь где-нибудь во Вселенной, кроме Земли?
Ответ: нет, её нигде больше не может быть, потому что этого не может быть.
А можно ли жизнь на земле считать разумной?
Это совсем другой вопрос, не относящийся к сути дела. :-)
Элементарно ватсон, 10г взрывчатки под хард и детонатор с кнопочкой. Менты в дверь – на кнопочку нажал. Остатки пусть изымают.
Тогда уж килограм под дверной коврик. Пусть остатки соскребают :)
Сейчас это происходит вот так[link4] :-D
Вспоминается "криптография от MicroSoft" (но сейчас они и свой Linux продвигают).
Я считаю этот метод ненадёжным :) Куда интереснее поглядеть его историю гугл-поиска – это будет существенно информативнее, да и просто список урлов сайтов которые посещал ))
"Настанет время когда история вашего гугл-поиска будет цениться важнее всех ваших рекомендаций с мест работы и официальных достижений... " © как-то так, не помню кто впервые высказался.
Подробности[link5] об устройстве. Это просто набор из 150 известных утилит сторонних производителей, которые MS просто свела в одну программу: полицейский эксперт выбирает в интерфейсе, какие утилиты следует использовать, программа копирует их на флэшку и создаёт скрипт для их автоматического запуска при подключении к компьютеру. Вот и всё, собственно.
А компьютер для этого перезагружать надо? А под неMS пойдёт? Или типа "воткнул и сразу рут"?
http://blog.wired.com/27bstrok.....microsoft-gives.html[link5]:
А есть его аналоги под Linux? Типа, детектить нестандартные ядра или ядра с кодом не из стандартных cvs и т.п. (вдруг юзверь сам чё-то понаписал стеганографических целей ради, а потом подгрузил модуль.. или без модуля)
Собираем всю систему из официальных исходников, считаем хэши всех получившихся файлов и записываем их вместе с программой проверки на CD. После этого вы в любой момент можете проверить систему на наличие подозрительных модификаций.
Причём делаем это после каждого обновления системы ;-D и поидее, даже после обновления портов.