Форум ''Интернет и Право''

Основной раздел => Вопросы по экспертизам => Тема начата: Николай Николаевич Федотов от 25 Января 2005, 17:07:06



Название: О доказательственном значении логов. Сыграем за синих?
Отправлено: Николай Николаевич Федотов от 25 Января 2005, 17:07:06
Драгоценные преждерожденные единочаятели!

Возникла интересная задачка, основой для которой послужило одно из прошедших уголовных дел.

Фабула. Гражданин Хакеров обвиняется по 272 статье УК. Одним из основных доказательств является лог интернет-провайдера, в котором зафиксирован доступ с телефонного номера Хакерова.

Задачка. Сформулировать вопросы защитника к свидетелю Админову, который является техническим сотрудником провайдера. На предварительном следствии Админов показывал, что логи, фигурирующие в деле, ведутся автоматически, никто кроме него доступа к ним не имеет. Провайдер заинтересованным лицом не является.

Особенность в том, что судья в информационных технологиях - ни уха ни рыла. Поэтому спорить с Админовым на "птичьем языке" бесполезно. Надо как-нибудь попроще, понагляднее. Думаю, решение может оказаться полезным для будущих процессов.

Завтра я выложу свой вариант допроса свидетеля, а вы меня покритикуете. Ладно? Можете предложить и своё.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: ezhfan от 26 Января 2005, 05:05:40
В юридических тонкостях вопроса не разбираюсь, но тов. Админову вопросик все же задам:
"Мог ли осуществляться доступ с другой телефонной линии с использованием устройства, обеспечивающего подделку телефонного номера?".

Дело в том, что в Москве на заре становления диалапного интернета для частного пользователя разрешалось "попробовать" интернет для принятия решения о пользовании услугами провайдера.
Провайдеры ограничивали время "пробного" доступа к услуге одним - парой часов, идентифицируя пользователей по номеру телефона. Но на некоторых старых АТС возможно было подделать телефонный номер, послав в линию соответствующий сигнал при соединении, чем один мой знакомый с успехом пользовался.
Я не знаю, можно ли сейчас подделать телефонный номер подобным образом, найдя шаговую АТС и пропищав что-то нечленораздельное в линию. Думаю, что эксперт должен оценить такую позможность, т.к. в случае наличия возможности подделки номера тов. Хакерова нужно отпустить, а вместо него искать тов. Фрикерова или другие способы доказать вину тов. Хакерова.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Николай Николаевич Федотов от 26 Января 2005, 19:20:29
Защитнику предлагается задать представителю провайдера следующие вопросы. Буду признателен за замечания и критику.

Каким программным средством и под управлением какой операционной системы создаются логи доступа? Какой версии это ПО?

Имеет ли данное программное средство и ОС какие-либо сертификаты?

Сертифицировано ли программное обеспечение на отсутствие недекларированных возможностей соответствующим органом (Гостехкомиссией, ГКТЭК) ?

Кто является производителем программного обеспечения для создания логов и ОС? В какой стране расположен производитель?

Принял ли производитель даного ПО на себя какие-либо обязательства по поддержке ПО и ответственность за его правильную работу?

Были ли за последние годы выявлены какие-либо ошибки или уязвимости в используемом вами программном обеспечении? Сколько?

Ставили ли вы обновления ПО, исправляющие выявившиеся ошибки? Сколько?

Через какое время после публикации сведений об ошибке или уязвимости вы обычно ставите обновление ПО?

Через какое время после выявления ошибки или уязвимости обычно сведения о ней публикуются?

Проводился ли в вашей компании аудит безопасности или аттестация информационной системы независимым аудитором?

Сдан ли ваш узел связи Госсвязьнадзору? Когда?

Какие изменения были проведены после момента сдачи узла связи?

Кто из пользователей имеет доступ на запись к файлу с логами?

Кто пользуется аккаунтом (учётной записью) администратора? Кому может быть известен пароль от этого аккаунта (учётной записи)?
[Далее вопросы про каждого упомянутого]

Существуют ли программы, позволяющие обычному пользователю поднять свои привилегии (права) до администратора системы?

Доступны ли такие программы в Интернете?

Какова ваша квалификация в области информационных технологий? Чем она подтверждена?

Какие у вас имеются документы об образовании, дополнительном образовании или повышении квалификации в области ИТ?

Каким именно техническим средством определяется номер телефона пользователя?

Сертифицировано ли данной техническое средство для использования в сетях связи РФ?

Имеется ли принципиальная техническая возможность для вызывающего абонента ввести ложную информацию о своём номере телефона?

Известно ли вам об имеющихся на рынке аппаратах с так называемой функцией "анти-АОН"?

Известно ли вашим пользователям о том, что их номер телефона определяется провайдером?

Как вы думаете, если бы у злоумышленника была возможность изменить техническими средствами определяемый номер телефона, он бы этой возможностью воспользовался?

Были ли случаи, когда номер телефона вызывающего абонента не определяется?


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Igor Michailov от 26 Января 2005, 19:58:34
Николай Николаевич, Вы с какой команде "играете"?

Сдается мне, что "Мафия бессмертна,  сыск вечен!" пора заменить на что-то вроде "Свой среди чужих. Чужой среди своих."  ;D


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Антон Серго от 27 Января 2005, 02:10:41
"Свой среди чужих. Чужой среди своих."  ;D
Такой в наших рядах уже есть.  ;)


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Marat от 27 Января 2005, 03:01:51
Еще неплохо бэкапом поинтересоваться  ;D
Есть ли он,в какой промежуток времени делается и т.д.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: yuriyah от 27 Января 2005, 12:35:25
Шестой вопрос некорректен, ИМХО.
Я бы сказал, сколько ошибок и уязвимостей выявлено производителем, потому что это единственная возможная к подтверждению информация. Сколько хакеры выявили, никто знать не может.
А после ответа на этот и следующий вопрос необходимо спросить о возможности невыявленных производителем ошибок и выявленных лично этим админом.
Воот. А так, очень понравилось. Причем на ключевых моментах о правах доступа и возможностях подделать номер телефона я остановился бы подробнее.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Николай Николаевич Федотов от 27 Января 2005, 14:35:44
Шестой вопрос некорректен, ИМХО.
Я бы сказал, сколько ошибок и уязвимостей выявлено производителем, потому что это единственная возможная к подтверждению информация. Сколько хакеры выявили, никто знать не может.

Как правило, уязвимости выявляются НЕ производителем. После этого о них  докладывается производителю, дожидается выход патча (правленной версии), а после этого сведения об уязвимости публикуются в специальных бюллетенях. Администратор, не читающий соответствующие бюллетени, должен рассматриваться как не исполняющий своих обязаностей.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: yuriyah от 27 Января 2005, 15:03:58
Шестой вопрос некорректен, ИМХО.
Я бы сказал, сколько ошибок и уязвимостей выявлено производителем, потому что это единственная возможная к подтверждению информация. Сколько хакеры выявили, никто знать не может.

Как правило, уязвимости выявляются НЕ производителем. После этого о них  докладывается производителю, дожидается выход патча (правленной версии), а после этого сведения об уязвимости публикуются в специальных бюллетенях. Администратор, не читающий соответствующие бюллетени, должен рассматриваться как не исполняющий своих обязаностей.

Николай Николаевич, в любом случае, все периодические издания администратор читать не обязан. Один нашел, другой не нашел. Я бы все же спрашивал о тех хотя бы, о которых уведомлял производитель, а потом о возможности других, не обнаруженных багов.
Кроме того, здесь можно прицепиться.
"А все ли бюллетени о выявленных уязвимостях программного обеспечения Вы читаете? А вот в журнале "Монгольский вестник" упоминали о такой-то уязвимости, вы слышали об этом?"


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Igor Michailov от 27 Января 2005, 19:27:22
Такой в наших рядах уже есть.  ;)

Теперь их двое  ;D


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Виталий К. от 28 Января 2005, 11:10:22
Цитировать
А все ли бюллетени о выявленных уязвимостях программного обеспечения Вы читаете? А вот в журнале "Монгольский вестник" упоминали о такой-то уязвимости, вы слышали об этом?"

А какая разница, слышал ли администратор о той или иной уязвимости. Цель ведь не опорочить профессиональное мастерство администратора, а продемонстрировать суду ненадежность программного обеспечения. А здесь как раз важно только что та или иная уязвимость существует, а не то, знал ли о ней администратор


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Николай Николаевич Федотов от 28 Января 2005, 11:46:24
Николай Николаевич, в любом случае, все периодические издания администратор читать не обязан. Один нашел, другой не нашел. Я бы все же спрашивал о тех хотя бы, о которых уведомлял производитель, а потом о возможности других, не обнаруженных багов.
Кроме того, здесь можно прицепиться.
"А все ли бюллетени о выявленных уязвимостях программного обеспечения Вы читаете? А вот в журнале "Монгольский вестник" упоминали о такой-то уязвимости, вы слышали об этом?"

Бюллетень, посвящённый уязвимостям одной ОС (список рассылки), как правило, единственный. Во многих случаях он издаётся как раз производителем. Так что найти и читать его совсем не трудно. Трудно патчить систему от каждой найденной дырки.

Представьте себе: 2-3 патча в неделю. По 30 минут, чтобы скачать и установить каждый из них. Всего у администратора 50 обслуживаемых компьютеров. Итого 50 часов. А в рабочей неделе только 40 часов...


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: yuriyah от 28 Января 2005, 13:44:14
Цитировать
А все ли бюллетени о выявленных уязвимостях программного обеспечения Вы читаете? А вот в журнале "Монгольский вестник" упоминали о такой-то уязвимости, вы слышали об этом?"

А какая разница, слышал ли администратор о той или иной уязвимости. Цель ведь не опорочить профессиональное мастерство администратора, а продемонстрировать суду ненадежность программного обеспечения. А здесь как раз важно только что та или иная уязвимость существует, а не то, знал ли о ней администратор

Виталий, нет, конечно, не опорочить. Просто показать, что не все возможные неисправности могут быть выявлены и исправлены одним конкретно взятым администратором.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: yuriyah от 28 Января 2005, 13:46:07
Николай Николаевич, в любом случае, все периодические издания администратор читать не обязан. Один нашел, другой не нашел. Я бы все же спрашивал о тех хотя бы, о которых уведомлял производитель, а потом о возможности других, не обнаруженных багов.
Кроме того, здесь можно прицепиться.
"А все ли бюллетени о выявленных уязвимостях программного обеспечения Вы читаете? А вот в журнале "Монгольский вестник" упоминали о такой-то уязвимости, вы слышали об этом?"

Бюллетень, посвящённый уязвимостям одной ОС (список рассылки), как правило, единственный. Во многих случаях он издаётся как раз производителем. Так что найти и читать его совсем не трудно. Трудно патчить систему от каждой найденной дырки.

Представьте себе: 2-3 патча в неделю. По 30 минут, чтобы скачать и установить каждый из них. Всего у администратора 50 обслуживаемых компьютеров. Итого 50 часов. А в рабочей неделе только 40 часов...


Я по существу с Вами не спорю, Николай Николаевич! Я же говорю о более точной формулировке. Согласитесь, что вариант с производителем удобнее, поскольку подтверждений может быть больше и нельзя обвинить человека в том, что он исправил неизвестно что, о чем производитель и вовсе не предупреждал, а это и не ошибка совсем.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Виталий К. от 28 Января 2005, 19:01:16
Цитировать
Виталий, нет, конечно, не опорочить. Просто показать, что не все возможные неисправности могут быть выявлены и исправлены одним конкретно взятым администратором.

А, понятно. Но не проще ли просто показать ненадежность программы, даже пусть и со всеми заплатками, если, допустим, каждую неделю обнаруживаются новые дыры. Нельзя же исключить, что "неизвестное лицо" воспользовалась такой дырой, которая была официально обнаружена только через несколько недель


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: yuriyah от 31 Января 2005, 15:46:38
Цитировать
Виталий, нет, конечно, не опорочить. Просто показать, что не все возможные неисправности могут быть выявлены и исправлены одним конкретно взятым администратором.

А, понятно. Но не проще ли просто показать ненадежность программы, даже пусть и со всеми заплатками, если, допустим, каждую неделю обнаруживаются новые дыры. Нельзя же исключить, что "неизвестное лицо" воспользовалась такой дырой, которая была официально обнаружена только через несколько недель


Логика есть. Пути два. Я бы не выбрасывал ни один из них, ни к чему разбрасываться идеями.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Игорь Собецкий от 31 Января 2005, 21:47:57
   На самом деле проблема не новая. И ставится не только здесь. В самом вопросе Федотова постулируется т.н. "конспирологическая" теория. Эта система понятий отлично известна всем практикующим юристам.
   Суть вопроса в том, что любые улики против любого подозреваемого при известном желании можно объяснить как результат некоторого заговора. В соответствии с конспирологической теорией, группа высокооплачиваемых и бесконечно могущественных заговорщиков (коммунисты, сионисты, масоны, шахиды, марсиане, соседи по коммунальной квартире...) фальсифицировали все необходимые улики для обвинения кого-либо в уголовном преступлении с целью посадить жертву в тюрьму или по крайней мере опорочить честь, достоинство и деловую репутацию.
   Конспирологическая теория на протяжении многих веков была любимым детищем юристов-схоластов. Это идеальное средство заболтать любой процесс. В самом деле, никаких доказательств существования такого заговора искать не надо - заговорщики их ловко спрятали. Искать мотивы действий заговорщиков бессмысленно - их конечная цель власть над миром, и она оправдывает любые средства. Разумеется, совершенно очевидно, что все улики против подсудимого изготовлены заговорщиками. Ну, а если кто-то и после таких веских соображений не поверил в существование заговора - так он в нем сам состоит!
   На самом деле конспирологическая теория вовсе не плод злого умысла недобросовестных адвокатов. Это своего рода издержки научной мысли. Подобно тому, как химики на определенном этапе развития науки пытались создать "философский камень", а физики конструировали "вечный двигатель", юристы изобретают конспирологическую теорию. С дальнейшим ростом объема научных знаний это проходит.
   Беда в том, что участники данного обсуждения сделали типичную ошибку - стали пытаться опровергнуть конспирологическую теорию. Составлять списки вопросов, анализировать, есть ли ошибки в построении конспиролога, выискивать "дыры" и уязвимости в системе - это все равно, что каждый раз строить "вечный двигатель" по чертежам очередного изобретателя, а потом дотошно разбираться, отчего он на этот раз не работает. На самом же деле в любом патентном бюро давно вывешена вежливая табличка - "ПРОЕКТЫ ВЕЧНЫХ ДВИГАТЕЛЕЙ НЕ РАССМАТРИВАЮТСЯ".  Один раз рассмотрели, обсудили, установили, что так нельзя, и баста!
   В законодательстве роль этой таблички играют соответствующие статьи кодексов. В каждой стране законодатель по-своему подошел к исключению конспирологической теории из доказывания. На мой взгляд, из стран СНГ лучше и корректнее всего прижали хвост конспирологам в Республике Казахстан. УПК этой страны содержит статью 118 - "Обстоятельства, устанавливаемые без доказательств". Применительно к нашей теме, системный администратор в Казахстане не должен доказывать, что он квалифицированно защищает систему. Это адвокат подсудимого должен доказать обратное.
   В России все сделано чуть-чуть менее удобно. В нашем УПК есть статья 235 - "Ходатайство об исключении доказательства". Так вот, по этой статье "При рассмотрении ходатайства об исключении доказательства, заявленного стороной защиты на том основании, что доказательство было получено с нарушением требований настоящего Кодекса, бремя опровержения доводов, представленных стороной защиты, лежит на прокуроре. В остальных случаях бремя доказывания лежит на стороне, заявившей ходатайство.". То есть в приведенном примере адвокат должен доказать не принципиальную возможность взлома системы кем бы то ни было, а реальный факт такого взлома. И если не докажет, наличие или отсутствие уязвимостей просто не играет роли.
   Разумеется, адвокат злоумышленника - если свой диплом купил в переходе - может сколько угодно развивать конспирологическую теорию. Но судья его просто оборвет - он-то свой диплом получил в вузе! Так что тут не надо искать ошибки в конкретных аргументах - порочна сама теория.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: yuriyah от 01 Февраля 2005, 13:04:02
Игорь, извините, но позволю себе некоторую ремарку.
Конституция, как известно, все-таки предусматривает презумпцию невиновности. И не совсем ясно, почему, если человека обвиняют в том, что с его телефона некто выходил в сеть, в этом усматривается вина человека.
Это понятно с точки зрения гражданского права, где вина вовсе не обязательно является необходимым условием для наступления ответственности. Но вот для уголовного судопроизводства презумпция действует очень даже хорошо. И, если существует неразрешимое противоречие, оно, как известно, толкуется в пользу подсудимого. В теории, конечно.
Поэтому адвокат все же не должен доказывать невиновности своего подзащитного. Он лишь должен доказать, что нет улик, которые однозначно указывают на то, что именно этот человек совершил преступление либо что он совершил его, но невиновен или не несет ответственности по каким-либо иным причинам.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Лебедев Artla Артём от 01 Февраля 2005, 13:12:50
/чуть оффтопа :)
"В случае необходимости (если вы не верите, что это действительно атака), мы готовы предоставить вам часть логов сервера (общий объем - несколько гигабайт)."

Сын Дмитрия Рогозина об усилиях партии "Родина" по интернет-освещению голодовки (http://www.regnum.ru/news/398493.html)


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: Николай Николаевич Федотов от 01 Февраля 2005, 13:31:56
То есть в приведенном примере адвокат должен доказать не принципиальную возможность взлома системы кем бы то ни было, а реальный факт такого взлома.

Согласен с позицией Игоря Всеволодовича в целом. Но... Есть два крайних случая:

а) система регистрации в целом надёжна и обмануть её способны только участники иудомасонского заговора;
б) система регистрации ненадёжна, заходи кто попало, изменяй что хочешь.

Продемонстрировать суду, что обсуждаемая система ближе к (б), чем к (а) - вполне осмысленная цель для защиты.


Название: Re:О доказательственном значении логов. Сыграем за синих?
Отправлено: ezhfan от 02 Февраля 2005, 01:40:02
Цитировать
Согласен с позицией Игоря Всеволодовича в целом. Но... Есть два крайних случая:

а) система регистрации в целом надёжна и обмануть её способны только участники иудомасонского заговора;
б) система регистрации ненадёжна, заходи кто попало, изменяй что хочешь.

Продемонстрировать суду, что обсуждаемая система ближе к (б), чем к (а) - вполне осмысленная цель для защиты.

Как я раньше заметил, это было продемонстрировано некоторыми особо хитрыми "фрэкерами"*
И возможность подделки номера зависит не от станции того, чей номер подделывают, а от станции того, КТО подделывает номер. Т.е. с цифровой станцией это сделать "домашними" средствами практически невозможно. Читал на данном форуме про "муху", но в глаза не видел и об особенностях работы судить не могу, однако замечу, что на АТС 158... данная "фича" работала - номер один раз из пяти подделывался с помощью модема, программульки и танцев с бубном  ;D
И раз такая ситуация реальна с подобными системами, суд должен признать, что данный случай аналогичен.
Например, если мы знаем, что автомобили сбивают людей, но у владельца автомобиля Ferrari Enzo, который людей ещё ни разу не сбивал, или сбивал, но это не выявлено/не доказано, то можем ли мы  утверждать, что данная модель не способна сбить человека?  :P
А тем, кто утверждает обратное, отвечать, что они участвуют в заговоре против владельцев Enzo!
Так же и система провайдера будучи ни разу не взломанной, может оказаться взламываемой, но доказать это может быть проблематично. Об этом можно только рассуждать, пока нет доказанных прецедентов или решения эксперта в данной области.


*Термин взят из словаря на http://www.cyberpol.ru