Форум ''Интернет и Право''

Иванов Н.А. Применение специальных познаний при проверке «цифрового алиби» (http://www.infolaw.ru/lib/2006-4-digital-alibi-expertise)

:)

Данная статья в очередной раз дискредитирует сотрудников министерства юстиции занимающихся производством компьютерных экспертиз и ВАК'а России - который присвает ученые степени черти-кому :(

Конечно, примитивно. На уровне года 1990-91. Но грубых ляпов нет.

Характерная цитата:
...и автор в том числе.

Ничего себе :o

Т.е. если обвиняемым не заявляется , что он в определенный период времени работал с дискетами/компакт-дисками они не изымаются?
Свежо!!! Оригинально!!!


Про системник, в целом, понятно. А вот если эксперту представлен ТОЛЬКО НЖМД, компакт-диск или дискета? Как доказать, что системные дата, время системника с которого копировались/модифицировались данные соответствовали текущим?

ну и т.д.

Согласен.  :D
Если не считать того, что с момента введения в действие нового УПК РФ вместо понятия "специальные познания" действует другой по смыслу и правовому содержанию термин - "специальные знания".  ;)  ;D

По моему, еще раньше. Уровень до 1980-го года. С точки зрения 1980-го года ляпов действительно нет. А вот с точки зрения современных знаний - ляп на ляпе сидит и ляпом погоняет.
А как же тогда экспертизу проводить? Ведь эксперт тожене может получить в полном объеме сведения об изменении временных характеристик. Тут без машины времени не обойтись. Сел эксперт в машину, откатился назад в нужное время, зафиксировал изменения и вернулся назад. Но тогда зачем весь огород городить? Сел в машину, проверил алиби и вернулся, доложив кому следует. ;) ;D ;D
Опять-таки, АОН-ы на узлах связи не существуют и провайдеры не знают с какого телефона осуществляется подключение к модемному пулу. Офуеть. Почти так действительно и было в эпоху координатных станций или даже с шаговыми искателями. Но и тогда легко можно было проследить номер. Нужно было только захотеть.

А еще, если системник (где модем стоял) с определенной высоты на человека уронить - то этого человека убить можно. Почему бы на обвиняемого еще и не раскрытые убийства  за последний год не "повесить". Аргумент-то "железный".

Я так понимаю, что в статье речь ведется не о доказательстве вины обвиняемого, а о проверке его алиби. И в этой ситуации, ИМХО, цитировавшееся заявление обвиняемого, действительно служит основанием для обязательного изъятия указанных носителей, без него - на усмотрение следствия. Не вижу особого криминала...

ИМХО, наличие системника, как раз не сильно облегчает задачу привязки по времени.
По существу же, не хочу делать каких-либо обобщений, ограничусь примером. Сравнение обнаруженной в кэше/логе броузера на вашем НЖМД страницы с формой отправки сообщения на этот форум и сравнение меток времени файловой системы со временем отправления и редактирования сообщения, проставленным самим сервером в заголовке вашего сообщения на форуме - дает некоторые основания для вывода о точности показаний часов вашего компьютера.

Полагаю, автор статьи имел в виду, что речь не идёт о компьютерном преступлении. Например, лицо обвиняется в том, что около 21:00 01.04.06 совершило изнасилование на улице Ленина. А подозреваемый утверждает, что в этом момент он мастурбировал на компакт-диск на улице Троцкого. Для проверки алиби компакт-диск надо изъять. Если же подозреваемый сразу сознается в изнасиловании, то компакт-диск изымать, естественно, не нужно (а компьютера у него сроду не было).


Кроме шуток, такие методы есть. Без наперёд гарантированного результата, но доказать можно.

В целом да, но, ИМХО, вполне соответствует цели статьи, обозначенной в последнем параграфе.

Тут все просто:  В соответствии с действующими метод.указаниями изымаются все компьютеры и носители находящиеся в помещении на момент осмотра.

Понятно , что есть частные случаи когда это доказуемо.

А если человек не работал в сети Интернет?  ;)

Вот вот, с этого и начнем. Это первый булыжник в огород.

Даже по делам об изнасиловании?
Даже если помещение - это узел связи, датацентр?

Устанавливать соответствие обнаруживаемых следов и соответствующих временных меток с действиями и событиями, время которых следствие установило или может установить независимым образом, в том числе опираясь на показания свидетелей или самого обвиняемого.

Вот вам один из способов.

На диске выявляются объекты (записи, файлы), хронологический порядок следования которых обеспечивается независимо от внутренних часов компьютера. И этот порядок сопоставляется с имеющимися временными метками. Это позволяет выявить сдвиг внутренних часов.

Например, в каталоге с компьютерной игрой обнаружены несколько файлов, содержащих "сейвы" - сохранённые игровые позиции. Из анализа их содержимого ясно, в какой последовательности они сделаны. А из анализа временных меток соответствующих файлов видно, что в промежутке между этим и тем внутренние часы были сдвинуты назад.

Dmitry, Николай Николаевич,
чего ломать копья над абстракциями? Вот образ дискеты http://computer-forensics-lab.org/lib/?cid=93

Можете сказать на сколько системные часы компьютера на котором записывались  файлы отстают/или опережают текущее?

И еще, просто для сведения, я слышал, что время тикающее в BIOS'e может не совпадать со временем указываемым ОС при создании/модификации/получения доступа к папкам и файлам.

А изнасилования уже стали относиться к преступлениям  квалифицируемым по статьям 272-274 УК РФ?

Слух проверен? Что за ОС такая?

Если у ОС есть альтернативный источник времени, и она им пользуется вместо встроенного таймера, то этот источник, как правило, не хуже. Под "внутренними часами" я понимал драйвер (демон), который выдаёт ОС и прикладным программам значение времени. А уж с какого аппаратного устройства этот драйвер берёт время: /dev/clockctl,  /dev/pps или /dev/gps - не имеет значения для задачи.

Не будет совпадать, если в BOIS-е указано UTC, а в системе Вы используете LocalTime, отличный от UTC. Но даже в этом случае системное время ВСЕГДА будет совпадать с часами BOIS, а показываться в понятном человеку виде будет уже в локальном времени.

Название статьи и ее смысл не совсем совпадают,а примеры приведенные вообще какие-то "левые"  ;D

О времени:
так и есть,время ОС и время BIOS не всегда тождественны.
служба  синхронизации времени у многих отключена,да и само время выставленное в ОС может отличаться весьма существенно от
текущего времени или нет подключения к сети.

Сама по себе постановка вопроса в статье весьма странная:
дескать я во время событий сидел там-то и там-то и работал на ПК(мог сказать что смотрел телевизор)-т.е. привязка человек+ПК,
а потом уже если нужно проверка,что на ПК в такой-то момент проводились какие-либо действия.Но опять же забавная фраза
Сильное утверждение.А почему не достаточно?
А если ПК включили ,запустили любую программу(к примеру,тот же
photoshop)ушли-через какое-то время пришли,закрыли программу и выключили ПК  :) Этого достаточно?  ;)

А можно и не обнаружить  :D А можно обнаружить,но ярлыки которые созданы после изменения системного времени  :)
Т.е. не сделав так называемый timeline analys всех файлов делать выводы рановато.

Резюме:
прочитав статью вспомнил весьма старую пародию на Э.Рязанова:
О чем этот фильм ?
Да ни о чем.
Так и статья-увы,ни о чем.