Как защититься от подделки доказательств на компе?
Этот вопрос навеян соседней темой.
А как можно защититься от подделывания доказательств в информационной сфере???
Допустим, завели дело, получили ордер на изъятие компов, забрали компы, составили протокол изъятия, а дальше что? Как с ними "работают" потом и кто это контролируется?
Как это происходит в "реальном мире", можт кто-нибудь ответить?
Допустим на компе есть контейнер, допустим они не смогли его открыть, что им мешает просто записать туда свой такойже контейнер со сфабрикованными данными?
Може в случае с бух. учетом это сделать сложно (?), ну а если там данные "попроще"? Что-то не могу придумать нормального примера, вот только такой: например, а нас всяких RIAA и MPAA нет, но если бы были, то могли бы в контейнер положить кучу музыки и несколько последних новинок из фильмов.
А у нас они (сволочи) есть, но от таких фишек можно надежно защититься.
Когда у меня в ходе следствия конфисковали комп и usb-брюлок, то я сделал следующее: во-первых, составил полный список деталей в компьютере и внес его в протокол. Вызвал экспетра, чтобы тот рассчитал при помощи своего ноутбука хеш имиджев дисков компютера и брюлка. Потребовал опечатать как компьютер так и брюлок (с которого предварительно была сделана копия на ноутбук эксперта). Хеши занесли в протокол. Тут мне эксперт немножко отомстил за занудство, и велел записать все 64 символа хеша SHA256 в протокол. Ну да Бог с ним.
Кстати, веселая история: когда я пришел в полицию за своими вещами (я при помощи адвоката добился их скорейшего возвращения), я, шутя, сказал полицейскому, что надеюсь, они не подделали доказательства и не записали мне какой-то троян keylogger на брюлок: давайте, проверим хеш! Он не сразу понял, что я хочу, но я ему обьяснил (в несколько заходов), что такое хеш и зачем мы его в протокол вносили. Когда до него дошло, он аж засиял. Понял, какая это полезная вещь и что сейчас он научился чему-то важному в киберкриминалистике.
Проверяем хеш брюлка. Не совпадает с протоколом! Мент побледнел. Я звоню адвокату, он звонит эксперту и требует, чтобы тот немедленно явился и решил проблему. Когда эксперт просто хотел восстановить из записанного имиджа (с правильным хеш-значением) брюлок, я запротестовал и потребовал для начала посмотреть и записать в протокол, в чем разница.
А разница оказалась вот в чем: появилась пустая директория мусорного ящика windows. :-) Дело в том, что полицейский (на всякий случай) сделал нескольо пофайловых копий с брюлка на своем компьютере, а windows открыл на монтированной файловой системе новую директорию для мусора. Я ведь windows не пользуюсь! Еще повезло следователю, что у него не оказалось какого-то вируса на компьютере, который переселился бы на мой брюлок, а то мой адвокат отделал бы его по полной программе.
Мораль: нанимайте быстро адвоката, настоите, чтобы записывали хеши имиджев в протокол, и вообще, качайте права, чтобы знали, с кем имеют дело.
Тоже думал именно в этом направдении.
Или полная копия имиджа всего диска к нотариусу, например, но непонятно как это записать в протокол. (?)
Но, к сожалению, или наоборот, к несожалению, мы (я) живем в России. А это "два большие разницы", как "скажут в Одессе"! Здесь все несколько отличается от цивилизованного мира.
Непонятно как такой процесс проходил бы у нас, даже представления не имею.
Конечно, если при этом действии присутствует хороший адвокат, это есть очень гут. И возможно такой вариант прокатит даже у нас.
А есть ли у нас какие-то процессуальные (интересно, я к месту это слово употребил ;)) нормы, как должно производиться изъятие данных на компах, или на других носителях??? Посколько без серьезной правовой поддержки (те адвоката) заставить их (те ментов) сделать себе такой укорот (записать хеш диска) невозможно.
Сам же отвечу на свой вопрос: думаю что таких норм нет. Ну скажите пожалуйста, что я ошибаюсь!?
Даже если удалось их заставить сделать такое, какую правовую силу будет иметь такая запись в протоколе? Не будет ли признана судом (!) такая "весчь" не имеющей доказательной силы? Или типа того.
PS Имидж для подсчета хеш, как я понял, нужно снимать полный, те каждый физический сектор диска. Никакие файловые копии (ф5 в фаре) или копии заполненных класторов в файловой системе не прокатывают, тк потом они все равно "найдут" "что-то свое" или в хвостах секторов или еще в какой неразмеченно области.
комментариев: 11558 документов: 1036 редакций: 4118
Ровно так же. Процедура аналогична, и права Вы имеете в общем идентичные.
Если процедура будет проведена без привлечения незавимимого эксперта, она не будет иметь юридической силы. Эксперт при необходимости должен предоставить в суде независимое свидетельство о ходе и результатах процедуры.
Ну да, сохраняете образ диска в файл и обсчитываете хэш-значение этого файла.
Не занимайтесь самодеятельностью и не скупитесь на адвоката; дороже обойдется! По ряду причин, в отличии от следователя, адвокат поймет, что такое хеш-функция с первого раза, даже если до этого он не знал.
Ни коим образом не думал заниматься самодеятельностью, просто интересно. Согдасен, что самое правильное в таких ситуациях – это нанять хорошего адвоката! Но и самому нужно знать что-к-чему. ;)
комментариев: 11558 документов: 1036 редакций: 4118
Ага, а следователь скажет, что эти действия могут запустить вашу систему самоуничтожения информации (и может ведь оказаться прав! :)