Форум ''Интернет и Право''

Вчера нами была  затронута тема (http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=2579#msg38141) представления на компьютерную экспертизу копии диска вместо оригинала. Например, во время обыска можно изъять диск сервера целиком, а можно на месте скопировать всё его содержимое (естественно, на низком уровне, на уровне контроллера) на свой диск. Действительно, вопрос.

Допустимо ли с процессуальной точки зрения?

Разумно ли с технической точки зрения?

А. Копирование носителя до передачи на экспертизу (в ходе обыска или выемки)
Б. Копирование носителя в ходе экспертизы

Есть следующие аргументы.

1. Некоторые методы исследования носителя непременно требуют оригинала. Другие методы с равным успехом работают с копией. Во время изъятия может ли специалист предположить, какие вопросы поставят перед экспертом, и какие методы тот станет применять? По-моему, может.

2. Возможны ошибки при копировании диска. Их возникновение ставит под угрозу проведение экспертизы вообще. Но насколько вероятны такие ошибки? Верификация после копирования носителя разве не решит проблему? По-моему, решит.

3. Достаточна ли компетентность специалиста, участвующего в следственном действии, проводящего копирование диска? По-моему, найти такого специалиста несложно.

4. Поймут ли понятые суть происходящих действий? Изъятие и опечатывание диска им безусловно понятна. А снятие копии? Смогут ли они уверенно утверждать, чтО именно проделывал специалист? По-моему, им этого понимать и не обязательно.

5. Может ли произойти при копировании диска утрата некоторой информации? Например, заводской номер диска, число секторов. По-моему, утраты не произойдёт.

6. Если применять снятие копии вместо изъятия оригинала носителя, это позволит не прерывать (или прервать ненадолго) рабочий процесс у владельца носителя. Остановить работу сервера на несколько дней ради проведения экспертизы – за что потерпевшему или непричастному провайдеру такое наказание?

7. В некоторых случаях копирование носителя страхует от потери данных вследствие недолговечности оригинального носителя. Например, в случае КПК. По-моему, лучше на месте снять копию памяти, чем до экспертизы поддерживать КПК в заряженном состоянии (не нарушая целостность печатей, гы).

Я бы дополнил обсуждение еще одним вариантом - изготовление рабочей копии, которая в случае необходимости устанавливается вместо оригинального диска, который в свою очередь изымается. Понятно, что метод тоже не лишен недостатков (например привязка ПО к серийному номеру диска), но, ИМХО, во многих случаях при наличии такой возможности может быть более приемлем и для экспертных целей и для владельца компьютера.

Сомневаюсь, что специалист в момент изъятия может с достаточной степенью уверенности определить, какие средства противодействия могли использоваться для сокрытия следов и, следовательно, определить какие методы исследования должны быть использованы для их обнаружения.  И путь, который выберет защита, он определить с уверенностью не сможет... Но, если говорить о НЖМД, то, ИМНО, методы исследования, требующие обязательного наличия оригинала, в подавляющем большинстве случаев применяться не будут не по причине отсутствия оригинала, а потому, что стоимость такого исследования, на порядки превзойдет размер ущерба от преступления.
+1
Надеюсь, что да.
В общем +1, но лучше все-таки, чтобы понимали. ИМНО, понятых "с пониманием" найти не сложнее, чем специалиста.
Конечно указанные вами параметры не будут утрачены, если при осмотре их зафиксировать в протоколе  ;)
Как я уже писал выше, выходом может быть копирование с заменой оргинала на копию в работающей системе и изъятием самого оригинала. Но с учетом сказанного в 1), полагаю, что и изъятие копии вместо оригинала в подавляющем большинстве случаев вполне уместно и достаточно для экспертизы. Сомнения, правда, терзают по поводу допустимости такого с точки зрения существующего законодательства.  
+1

     Представляется, что грамотно снятого образа диска будет достаточно для его последующего использования в качестве источника доказательства по уголовному делу.  :D

Гм, а что Вы понимаете под словами "грамотно снятого"? И чем?

    Игорь!  :D  Мне представляется, что в этом Вы лучше меня должны разбираться.  ;)  Вроде как на нашем "экспертном сборище" с Вашим присутствием этот вопрос разбирался?  ;D

На самом деле, ответ не столь очевиден. ;)

Если позволите, я отвечу.

Корректность снятия копии содержимого (образа) диска задаётся 4 параметрами:

• совпадение копии с оригиналом;
• возможность верификации;
• неизменность оригинала;
• детектирование внешних ошибок.

Именно такая идеология использовалась в National Institute of Justice при тестировании инструментов для копирования. Отчёты смотреть здесь (http://www.cftt.nist.gov/disk_imaging.htm) (раздел REPORTS).

Вкратце. Можно считать выдержавшими тест:

• dd из состава ОС FreeBSD 4.4 (без ошибок)
• Encase версии 3.20 (с тремя ошибками)
• Safeback версии 2.18 (с двумя ошибками)
• Safeback/DOS версии 2.0 (с четырьмя ошибками)
• dd из состава GNU fileutils 4.0.36, ОС Red Hat Linux 7.1  (без ошибок)

...А то на форуме кое-кто позволял себе (http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=2579;start=50#msg38278) пренебрежительное упоминание про dd.

Э-э-э, Николай Николаевич, Вы программу dd c аппаратным устройством  HDD не путаете? ;)

Есть еще одна очень интересная проблема- как подтвердить легитимность  создаваемого образа если НЖМД "сыпется" (т.е. для него при каждом подсчете получается другое значение MD5)?

И еще вопрос, можно вот про это:
"

• совпадение копии с оригиналом;
• возможность верификации;
• неизменность оригинала;
• детектирование внешних ошибок.

"
поподробнее. Как Вы хотите это реализовать?

"Сыпется" не весь диск, а конкретный трэк или сектор. Unix сильно ругается на это дело и если dd не указать специально опцию "продолжать после ошибки", то система сваливает его. Ругань всегда есть в логах. Когда диск сыпался, то нужно делать несколько копий диска в разные файлы и при этом начальная температура диска после включения должна быть разной - от 20 до 10 C с шагом 2-3 C. Чаще всего помогает. Потом в отчете надо указать о проделанной работе по восстановлению инфы.

Если используется виндоза, то "осыпание" может быть еще и результатом заражения системы вирусняком. Поэтому виндозу крайне нежелательно использовать для ентих дел. Неуправляемая.

Обижаете, гражданин начальник!


Считать хэш для каждого блока (кластера) по отдельности.
Только не MD5, а ГОСТ-34.11. Если сможете.

Поднимаемые вопросы правильны и важны. Копия или оригинал?
Для начала хочу сказать про банальные вещи, которые до сих пор не решены в России:
1. Наличие специалиста (эксперта) при проведении след. действий.
2. Наличие у этого специалиста техники и дисков, куда образы снимать.
Вопрос квалификации самого специалиста я оставляю за кадром.
Господа, где в России (даже в региональных центрах) качественно решены эти проблемы?
Аналог - эксперт в Германии, Англии, у которого не то, что техника, диски и голова на плечах, так еще и утвержденная обязательная инструкция к действию. И снимается не одна копия, а 2. Одна копия, т.н. «контрольная», другая для экспертизы (осмотра).  А MD5 хеш, распечатывается и скрепленный подписями понятых упаковывается вместе со всеми дисками. Вот так вот.

Про обязательную копию для стороны защиты забыл сказать.

Три- четыре года назад одна из гос.структур разработала подобную инструкцию (пследовательность действий при изъятии комп.техники). Оговорено все вплоть до того как перевозить и хранить. Но, времена меняются. Если сейчас соблюдать всю последовательность изъятия комп.техники описанную в той инструкции - Вы изымете не правильно (а иногда, к изъятым  данным просто  не возможно будет получить доступ).

Так в чем вопрос? В разработке новой инструкции? Даже если составить подобную инструкцию, она будет носить рекомендательный характер в любом случае, если не рассматривать ее как приложение к ведомственному приказу, что ИМХО хорошая идея.

В царской России до такой дури не додумывались, чтобы каждый шаг, каждое действие регламентировать. Процитирую один документ:
================================
Никакая должностная инструкция не может предусмотреть все отдельные случаи и дать вперед соответствующие указания, а посему господа инженеры обязаны руководствуясь знаниями своей специальности и сообразуясь с интересами дела прилагать все усилия для оправдания своего назначения.

Из устава технического комитета N15
от ноября 27 дня 1913 года.
================================
Вот такие бы инструкции писались. А то читаешь иную и думку гадаешь - для каких дебилов это все написано?

Когда я служил в маленьком отделении милиции, у нас УПК носил рекомендательный характер. А уж инструкция-то...

Ну вот, предположим, составил я (штатский человек) хорошую инструкцию. А вы составили ещё лучшую. А пень-полковник, который впервые увидел компьютер в сорок лет, тоже составил инструкцию, совсем плохую. Как вы думаете, которая войдёт в приказ?

Хорошие слова! Принципиально правильное пожелание. Но есть один момент -  многим надо «разжевать и положить в рот», и то могут напутать. Да и фиксация отдельных моментов -  не так уж и неоправданна. Некоторые уставы написаны, как говорится «потом и кровью» и соблюдение их обязательно. Развитие высоких технологий стремительно, но я считаю, что некоторые положения подлежат обязательному закреплению.

Основная задача этого пня не допустить до составления подобных документов.