Как защититься от подделки доказательств на компе?
Этот вопрос навеян соседней темой.
А как можно защититься от подделывания доказательств в информационной сфере???
Допустим, завели дело, получили ордер на изъятие компов, забрали компы, составили протокол изъятия, а дальше что? Как с ними "работают" потом и кто это контролируется?
Как это происходит в "реальном мире", можт кто-нибудь ответить?
Допустим на компе есть контейнер, допустим они не смогли его открыть, что им мешает просто записать туда свой такойже контейнер со сфабрикованными данными?
Може в случае с бух. учетом это сделать сложно (?), ну а если там данные "попроще"? Что-то не могу придумать нормального примера, вот только такой: например, а нас всяких RIAA и MPAA нет, но если бы были, то могли бы в контейнер положить кучу музыки и несколько последних новинок из фильмов.
комментариев: 11558 документов: 1036 редакций: 4118
Маразм. В спорной ситуации предварительно изготовляется копия данных.
Нет такой категории. Судебный эксперт обладает полным доверием со стороны суда в области его экспертизы. В противном случае узкоспециальные области знания в судебном заседании невозможно было бы оценить. Эксперт, со своей стороны, заинтересован, чтобы его экспертизу минимально ставили под сомнение и оспаривали участники процесса.
Владелец программы изготовления копии данных всё равно находится под подозрением...
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
В основном в этой теме, как я понял, главный подозреваемый – это как раз эксперт и то ПО, которое он применяет. Защите и обвинению нужно придти к согласию о методике получения и применения ПО для получения контрольной суммы, например, скачать из случайно выбранного интернет-кафе общеизвестного ПО (желательно с открытыми исходниками) с общеизвестного сайта.
А ещё, при съёме контрольной суммы может помочь аппаратный перевод жесткого диска в режим "только чтение", если такое, конечно, возможно.
1. Использовать контроллер или внешнее устройство, которое обеспечивает read-only для жесткого диска, с которого снимается образ.
Вот нашел несколько таких http://www.cooldrives.com/usb20toatast.html , http://www.cooldrives.com/fii13toatast.html , http://fwdepot.com/thestore/pr.....php/products_id/1086 , http://www.shop4tech.com/item3825.html .
Но остается вопрос доверия к этому устройству, тк "эксперту" ничего не мешает вытряхнуть внутренности из этого устройства и сделать его вполне read-write.
2. Второй вариант более простои и ИМХО более правильный.
Берется обычный комп, на котором нет никаких запоминающих устройств (hdd, флэшек), нет сетевых интерфейсов (wi-fi, синий зуб, к обычной сетевухе кабель не подключен). Те только мать, проц, мозги, видюха. Но на компе есть cd привод. Берется загрузочный CD с Linux, (!) скачанный с офф. сайта(!), и из под этой системы делаются все операции – но сначала подсчет md5 образа диска.
Но для этого нужно гарантировать, что LiveCD не содержит никаких доп. программ, скриптов и "подготовленных данных", те что загрузка была произведена именно с оффициального дистрибутива, скачанного с сайта и без всяких модификаций. Но думаю этот вопрос решаем (взять у "эксперта" его LiveCD и обсчитать md5 на своем компе).
Если же нужно сделать образ с диска и скопировать его на другой винт для "экспериментов", то сначала снимается md5 исходного диска, перезагружаются, подключается второй диск, копируется на него образ и еще раз проверяется md5.
Вообщем, думаю что загрузка с ОФФИЦИАЛЬНОГО LiveCD с Linux может гарантировать, что на винте не появятся сфабрикованные данные (откуда им взяться в офф. дистрибутиве?, а все интерфейсы кроме клавиатуры отключены, разве что будут "от руки набивать" компромат ;))
Но наверно слабые места есть и в этой схеме?
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 1515 документов: 44 редакций: 5786
Это в воровском мире живут "по понятиям", а то, что творится в ментовской сфере, это беспредельшина!
Вот я и хочу получить схему действий в ! Реальной! Ситуации, чтобы насуде не пришлось "оправдываться". Как происходит изъятие – приглашают понятых и они типа смотрят чтобы менты не "добавили" что-то свое, хотя это нисколько не мешает им частенько подбрасывать наркоту при обысках или задержаниях. А в Информационной сфере за "экспертом" вообще никто не наблюдает и не контролирует его работу, и если он что-то свое запишет ко мне на диск, это потом даказать будет АБСОЛЮТНО невозможно.
Слишкомутрировать имхо тоже не стоит, а то можно договориться до того, что все люди умирают, так какая разница?
Spinore, а Вы можете сказать, как это происходит "у нас" на самом деле?
комментариев: 1515 документов: 44 редакций: 5786
Помню ещё один случай с изначилованием. В подробности вдаваться не буду, но не преувеличивая скажу что следствие по делу быстро сводится к разговору "Да ты его сама изнасиловала, он бедный не знал как от тебя отбиться". Его нашли, допрашивали... Даже до суда не довели. В милиции – полный беспредел. Ещё помню в школе сталкивался: кроме как инспектор обидчикам пальчиком погрозил, реальных сдвигов тоже не было, а могли бы и в спецшколу сдать, и в колонию... Когда у нас соседи увели корову, и пришли милиция показания снимать, те пили с нашими соседями, которые украли корову, посылали их за водкой, а одна женщина из соседей в это время натаптывала следы на снегу, куда якобы эту корову повели. Всё это серди бела дня, у всех на глазах. Менты смотрели на эти следы и показывали их нам :) О КАКИХ формальностях вы теперь говорите? Если судья решит что надо, значит надо. Здесь прав тот, у кого автомат. Давно пора вам с этим смириться. Я интересовался у народа в инете, что делаают копы когда не могутподобрать пароль. Они начинают придуриваться, и пороть херь о том, что якобы таких и прецедентов не было: онир у нас умные, + телепаты, они либо ломают пароль программами, либо угадывают :) Причём сколько я судебных действий не читал, ни разу не помню случая, чтоб следователи пожаловались на зашифрованный раздел и закрыли дело. Единственный подобный прецедент я слышал, был в Англии. Можете поспрашивать у народа вот здесь: http://internet-law.ru/ Они там все юридически-подкованные, соображают как с вами расправиться. Собственно, по поводу следствия вам уже сказали: надо снять md5 с диска и записать его в протокол. Но никаких гарантий это не даёт. Вы о каких-то абстрактных вещах говорите, в то время как в москве ежедневно насилуют и убивают людей в метро, об этом писали.... А потому я бы посоветовал сосредоточиться на том, чтоб дело не дошло до изъятия ваших вещей.
Да. Насколько я могу судить, по одному единственнуму случаю, и то не со мной, при зашифрованном разделе, когда пароль не подобрали (если вобще подбирали) в отчете эксперта, на суде, было написано, что на диске N Гб зашифрованной информации. Так же слышал про отчеты эксперта со списком всех файлов пк. Те, которые могли быть использованы для незаконных действий были отмечены.