id: Гость   вход   регистрация
текущее время 11:05 29/03/2024
Автор темы: Гость, тема открыта 02/10/2006 00:01 Печать
https://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/КакЗащититьсяОтПодделкиДоказательствНаКомпе
создать
просмотр
ссылки

Как защититься от подделки доказательств на компе?


Этот вопрос навеян соседней темой.


А как можно защититься от подделывания доказательств в информационной сфере???


Допустим, завели дело, получили ордер на изъятие компов, забрали компы, составили протокол изъятия, а дальше что? Как с ними "работают" потом и кто это контролируется?


Как это происходит в "реальном мире", можт кто-нибудь ответить?


Допустим на компе есть контейнер, допустим они не смогли его открыть, что им мешает просто записать туда свой такойже контейнер со сфабрикованными данными?
Може в случае с бух. учетом это сделать сложно (?), ну а если там данные "попроще"? Что-то не могу придумать нормального примера, вот только такой: например, а нас всяких RIAA и MPAA нет, но если бы были, то могли бы в контейнер положить кучу музыки и несколько последних новинок из фильмов.


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии
— Гость (02/10/2006 03:47)   <#>
type:
у нас всяких RIAA и MPAA нет, но если бы были, то могли бы в контейнер положить кучу музыки и несколько последних новинок из фильмов.

А у нас они (сволочи) есть, но от таких фишек можно надежно защититься.
Когда у меня в ходе следствия конфисковали комп и usb-брюлок, то я сделал следующее: во-первых, составил полный список деталей в компьютере и внес его в протокол. Вызвал экспетра, чтобы тот рассчитал при помощи своего ноутбука хеш имиджев дисков компютера и брюлка. Потребовал опечатать как компьютер так и брюлок (с которого предварительно была сделана копия на ноутбук эксперта). Хеши занесли в протокол. Тут мне эксперт немножко отомстил за занудство, и велел записать все 64 символа хеша SHA256 в протокол. Ну да Бог с ним.

Кстати, веселая история: когда я пришел в полицию за своими вещами (я при помощи адвоката добился их скорейшего возвращения), я, шутя, сказал полицейскому, что надеюсь, они не подделали доказательства и не записали мне какой-то троян keylogger на брюлок: давайте, проверим хеш! Он не сразу понял, что я хочу, но я ему обьяснил (в несколько заходов), что такое хеш и зачем мы его в протокол вносили. Когда до него дошло, он аж засиял. Понял, какая это полезная вещь и что сейчас он научился чему-то важному в киберкриминалистике.

Проверяем хеш брюлка. Не совпадает с протоколом! Мент побледнел. Я звоню адвокату, он звонит эксперту и требует, чтобы тот немедленно явился и решил проблему. Когда эксперт просто хотел восстановить из записанного имиджа (с правильным хеш-значением) брюлок, я запротестовал и потребовал для начала посмотреть и записать в протокол, в чем разница.

А разница оказалась вот в чем: появилась пустая директория мусорного ящика windows. :-) Дело в том, что полицейский (на всякий случай) сделал нескольо пофайловых копий с брюлка на своем компьютере, а windows открыл на монтированной файловой системе новую директорию для мусора. Я ведь windows не пользуюсь! Еще повезло следователю, что у него не оказалось какого-то вируса на компьютере, который переселился бы на мой брюлок, а то мой адвокат отделал бы его по полной программе.

Мораль: нанимайте быстро адвоката, настоите, чтобы записывали хеши имиджев в протокол, и вообще, качайте права, чтобы знали, с кем имеют дело.
— Гость (02/10/2006 03:49)   <#>
К стати, я хотел об этом уже давно написать, но только сейчас появился дополнительный повод. Хеш-функция — мощный инструмент в руках Фемиды. :-)
— Гость (02/10/2006 04:33)   <#>
Да, грамотно!!!

Тоже думал именно в этом направдении.
Или полная копия имиджа всего диска к нотариусу, например, но непонятно как это записать в протокол. (?)

Но, к сожалению, или наоборот, к несожалению, мы (я) живем в России. А это "два большие разницы", как "скажут в Одессе"! Здесь все несколько отличается от цивилизованного мира.

Непонятно как такой процесс проходил бы у нас, даже представления не имею.
Конечно, если при этом действии присутствует хороший адвокат, это есть очень гут. И возможно такой вариант прокатит даже у нас.

А есть ли у нас какие-то процессуальные (интересно, я к месту это слово употребил ;)) нормы, как должно производиться изъятие данных на компах, или на других носителях??? Посколько без серьезной правовой поддержки (те адвоката) заставить их (те ментов) сделать себе такой укорот (записать хеш диска) невозможно.
Сам же отвечу на свой вопрос: думаю что таких норм нет. Ну скажите пожалуйста, что я ошибаюсь!?
— Гость (02/10/2006 05:03)   <#>
И еще несколько мыслей.

Даже если удалось их заставить сделать такое, какую правовую силу будет иметь такая запись в протоколе? Не будет ли признана судом (!) такая "весчь" не имеющей доказательной силы? Или типа того.

PS Имидж для подсчета хеш, как я понял, нужно снимать полный, те каждый физический сектор диска. Никакие файловые копии (ф5 в фаре) или копии заполненных класторов в файловой системе не прокатывают, тк потом они все равно "найдут" "что-то свое" или в хвостах секторов или еще в какой неразмеченно области.
— SATtva (02/10/2006 18:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Д. Надь, ценнейшая информация!

type:
Непонятно как такой процесс проходил бы у нас, даже представления не имею.

Ровно так же. Процедура аналогична, и права Вы имеете в общем идентичные.

Даже если удалось их заставить сделать такое, какую правовую силу будет иметь такая запись в протоколе? Не будет ли признана судом (!) такая "весчь" не имеющей доказательной силы? Или типа того.

Если процедура будет проведена без привлечения незавимимого эксперта, она не будет иметь юридической силы. Эксперт при необходимости должен предоставить в суде независимое свидетельство о ходе и результатах процедуры.

PS Имидж для подсчета хеш, как я понял, нужно снимать полный, те каждый физический сектор диска.

Ну да, сохраняете образ диска в файл и обсчитываете хэш-значение этого файла.
— Гость (02/10/2006 21:57)   <#>
type, я не случайно на первом месте написал нанять адвоката. И быстро. Это самое важное. А он уже позаботится о том, чтобы ваши права были соблюдены и чтобы все доказательства были собранны таким образом, чтобы они устояли перед судом.
Не занимайтесь самодеятельностью и не скупитесь на адвоката; дороже обойдется! По ряду причин, в отличии от следователя, адвокат поймет, что такое хеш-функция с первого раза, даже если до этого он не знал.
— Гость (02/10/2006 22:31)   <#>
Да, имиджи снимаются со всего диска, включая таблицу разделов, бут-сектор и все остальное. Если у эксперта нет достаточного места для копии, то все равно можно его попросить снять хеш, чем-то вроде
— Гость (03/10/2006 01:46)   <#>
Д. Надь Действительно, очень полезные сведения!!! Спасибо! Такие вещи нужно знать всем.

Ни коим образом не думал заниматься самодеятельностью, просто интересно. Согдасен, что самое правильное в таких ситуациях – это нанять хорошего адвоката! Но и самому нужно знать что-к-чему. ;)
— Гость (12/10/2006 01:21)   <#>
А на практике, как все будет происходить, вот наведывается полиция, вы вызываете адвоката, он приезжает, и т.д. Можно поподробнее? И где брать эксперта?
— Гость (13/10/2006 13:21)   <#>
В России все попроще. При изъятии компьютера он опечатывается печатями и подписями его владельца. (опечатываются все разъемы и снимаемые блоки (т.е. боковые крышки, морда "системника" и и.т.д.). Далее, при проведении экспертизы изятого блока повесткой вызывается его владелец (представитель владельца), и в пристутствии понятых пломбы срываются, системник подключается к необходимой перефирии и с ним производятся необходимые следственные мероприятия. Ваше право внести в протокол все замечания по работе эксперта (а в его интересах этих замечаний не допустить), как то вставка различного вида носителей (дискета, диск, флешка), подключение Вашего ПК к локальной сети и.т.п. Все это потом вам же и поможет (например на вопрос следователя "как на вашем ПК оказался файл с данными кредитных карт "bank of NY" :-D всегда можно ответить что – "в процессе обследования системного блока эксперта, несмотря на мои протесты была подключена флешка с якобы необходимым ему в работе ПО, что и было зафиксировано в акте осмотра и зафиксировано понятыми. Я считаю что это ПО было заражено вредоносными программами которые скопировали данные с флешки мне на жесткий диск." Пусть потом эксперт доказывает что это не так :-) )
— Гость (16/10/2006 19:16)   <#>
Kак же тогда в России можно отследить подключение по wi-fi ? :(
— SATtva (16/10/2006 21:26)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Отключите сетевой адаптер при изъятии. Или потребуйте заблокировать всю сетевую функциональность в ОС.
— Гость (17/10/2006 02:03)   <#>
Наверно есть какие-то инструкции по изъятию, проведению следственных действий в комьютерной сфере, я поискал ничего конкретного не нашел, никто не может дать ссылочку?
— Гость (17/10/2006 07:46)   <#>
Отключите сетевой адаптер при изъятии. Или потребуйте заблокировать всю сетевую функциональность в ОС.

Ага, а следователь скажет, что эти действия могут запустить вашу систему самоуничтожения информации (и может ведь оказаться прав! :)
— Гость (17/10/2006 11:35)   <#>
насколько я знаю, никакого сертифицированного ПО для снятия образов дисков, для подсчета контрольных сумм нет. И стандартизированной процедуры для этого нет. Все эти вещи определяет самостоятельно эксперт. И тут уже просто вопрос доверия судьи этому эксперту.
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3