следующая тема »

[Николай Николаевич Федотов]

Естественно, результат действия всяких "хакерских", несертефицированных для применения в данной области, утилит - голая информация, не представляющая для суда никакого интереса.

А вот с этим утверждением я бы поспорил.

Во-первых. Кто в РФ уполномочен сертифицировать ПО для применения в КТЭ? Нет такого органа, нет таких положений и РД.

Во-вторых. "Хакерская" утилита и утилита от известного производителя выпускаются с совершенно одинаковыми гарантиями - "as is" и "мы ни за что не отвечаем".

[Igor Michailov]

Да, необходим контроль получаемых при производстве экспертизы результатов. Так как, в каждом случае, на кон поставлена судьба конкретного человека.

[Dimon]

Данная тема закрыта в связи с нарушением правил форума http://www.internet-law.ru/forum/index.htm:
1. Не использовать заведомо ложную информацию.
...

Конечно, конечно - все описываемые продукты и названия фирм выдуманы , любые совпадения случайны.  
Александр, я надеюсь, Вы шутку поняли?

Данная тема закрыта в связи с нарушением правил форума http://www.internet-law.ru/forum/index.htm:
...
2. Не присылать рекламную информацию.

Соласно ст.2 ФЗ "О рекламе" от 14 июня 1995г:
"реклама - распространяемая в любой форме, с помощью любых средств информация о физическом или юридическом лице, товарах, идеях и начинаниях (рекламная информация), которая предназначена для неопределенного круга лиц и призвана формировать или поддерживать интерес к этим физическому, юридическому лицу, товарам, идеям и начинаниям и способствовать реализации товаров, идей и начинаний..."

-Круг лиц, для кого предназначена информация, четко определен (см.выше), поэтому тема и находится в разделе форума "Компьютерные преступления", а не "Общие обсуждения" или "Беседка". Т.е. информация в ветке не предназначена для неопределенного круга лиц.

-"...и способствовать реализации товаров, идей и начинаний..." - кое-что из описываемых программных продуктов и тех.средств Вы не купите даже при очень большом желании, абы-кабы кому такие вещи не продают.

Т.е. я так понимаю, что информация в данной ветке рекламой не является (согласно существующего законодательства). Или я не прав?

Как бы мы тут ни ругались или не братались друг с дружкой, но обычно создатели форумов заинтересованы в том, чтобы у них на сайте присутствовали грамотные люди, а потому подобные вопросы обычно решаются фразами типа, ну если вам не нужно, я с этими новостями уйду на sec.......lab, где меня не только журить не будут, но еще и встретят с распростертыми объятиями

Но если серьезно, то

31.05.2005

Автор:Ernest Baca
Перевод: Фомичев А.Н.
Название:Введение в Linux для специалистов в области компьютерной безопасности и судебных экспертов.
Источник: http://computer-forensics-lab.org/

Введение в Linux для специалистов в области компьютерной безопасности и судебных экспертов. (Презентация)

Подробнее: http://computer-forensics-lab.org/lib/?cid=22


Автор:Mariusz Burdach
Перевод: Дмитрий Цирлин
Название:Криминалистический анализ работающей компьютерной системы под управлением ОС Linux.
Источник: http://computer-forensics-lab.org/

Криминалистический анализ работающей компьютерной системы под управлением ОС Linux.

В процессе расследования и ликвидации последствий компьютерных инцидентов часто приходится сталкиваться с ситуацией, когда пользователь или администратор оставляет скомпрометированную компьютерную систему во включенном состоянии. Это дает замечательную возможность получить важную информацию, которая была бы безвозвратно утеряна при выключении системы.  Я говорю о таких вещах как запущенные процессы, открытые TCP/UDP порты, образы программ, которые были удалены с носителей, но все еще активны в ОЗУ, содержимое буферов, очередь запросов на установление сетевых соединений, список установленных соединений и программные модули, загруженные в области виртуальной памяти, зарезервированные для ядра ОС. Все эти данные могут помочь исследователю при дальнейшем поиске и анализе криминалистических следов в лабораторных условиях. Более того, если компьютерный инцидент произошел относительно недавно, мы можем восстановить почти все данные, использовавшиеся злоумышленником, и последовательность его действий...

Часть 1: http://computer-forensics-lab.org/lib/?cid=23
Часть 2: http://computer-forensics-lab.org/lib/?cid=24

Каким образом определяется, какая информация может быть открыта, а какая закрыта. Ведь данные книжки с большой долей уверенности можно говорить, что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела.

[Marat]

что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела.

На сегодняшний день,"другая сторона" знает зачастую больше  
Логично предположить,что следующим будет предложение ограничить продажу криминалистического софта-только по предъявлению корочек и характеристики от начальства   или
удостоверения "Юный помощник милиции"  

[Igor Michailov]

Ведь данные книжки с большой долей уверенности можно говорить, что прочитают и представители "другой стороны", стало быть, будут знать, как замести следы в случае чего, что затруднит сбор доказательств и объективное расследование дела.

Человечество, в целом, прекрасно осознает, что пить и курить вредно для здоровья. Однако, продолжает и пить и курить.

[Igor Michailov]

06.06.2005

Автор:Собецкий И.В.
Название:Организация технико-криминалистической экспертизы компьютерных систем.
Источник: http://www.securitylab.ru/41165.html

Организация технико-криминалистической экспертизы компьютерных систем.

"В предыдущей статье мною было проанализировано доказательственное значение лог-файлов, получаемых в ходе расследования уголовных дел о правонарушениях в сфере компьютерной информации. Однако остается ещё один не менее важный вопрос – о производстве экспертизы разного рода компьютерных систем. Такая экспертиза может потребоваться как в гражданском (в случае споров об ответственности между заказчиком и подрядчиком, о наступлении страхового случая, невиновном причинении вреда), так и в уголовном процессе (исследование техники, принадлежавшей правонарушителям либо потерпевшим, для установления истины по делу).
В то же время сейчас перед юристами и экспертами по информационной безопасности стоят многие проблемы, затрудняющие производство таких экспертных исследований и использование их результатов в гражданском и уголовном процессе.
 
Очевидно, что проводимая в рамках уголовного процесса экспертиза компьютерной техники может предоставить в распоряжение следователя и суда весомые доказательства вины (или невиновности) подсудимого. Это касается не только преступлений в сфере компьютерной информации, но и большей части преступлений экономической направленности и некоторых общеуголовных (например, незаконного распространение порнографических материалов или предметов, мошенничества, подделки документов и т.п.). Как известно, любая организованная деятельность, в том числе преступная, не может обходиться без учёта, а в современных условиях большинство видов учёта успешно автоматизировано посредством компьютерной техники. Характерным примером использования результатов технико-криминалистической экспертизы явилось дело НК «ЮКОС», когда владельцу компании М.Б. Ходорковскому были предъявлены обвинения на основании данных, полученных именно в результате экспертизы изъятых в НК компьютеров. Однако технико-криминалистическая экспертиза компьютерной техники, в отличие от многих других экспертиз, до сих пор не поставлена «на поток». Что позволено Юпитеру, не позволено быку – по сотням менее громких дел технико-криминалистическую экспертизу компьютерных систем проводить некому и некогда.
..."

Интересная, но довольно спорная как с юридической, так и с методологической точки зрения работа. Следует отметить , что обсуждение данной статьи на форуме "Интернет и Право" занимает более 13 страниц ( http://www.internet-law.ru/forum/index.php?board=9;action=display;threadid=247 ).

Подробнее: http://computer-forensics-lab.org/lib/?cid=25

[Igor Michailov]

Как бы мы тут ни ругались или не братались друг с дружкой, но обычно создатели форумов заинтересованы в том, чтобы у них на сайте присутствовали грамотные люди, а потому подобные вопросы обычно решаются фразами типа, ну если вам не нужно, я с этими новостями уйду на sec.......lab, где меня не только журить не будут, но еще и встретят с распростертыми объятиями

Все было совсем не так
Никаких условий- типа "ну если вам не нужно, я с этими новостями уйду на ..."- я не выдвигал.

[Igor Michailov]

16.06.2005

Выложены описания некорректных моментов работы программы Encase FE, выявленные за прошедшую неделю.

-Некорректное добавление сменных носителей в CASE.
-Неточность в работе Encase FE 4, вызванная внешней программой.
-Тест Encase FE 4.18a  для DOS.

Подробнее: http://computer-forensics-lab.org/lib/?rid=29

[Dmitry]

-Тест Encase FE 4.18a  для DOS.

Насколько я помню, по умолчанию Encase для DOS для доступа к диску использует интерфейс INT13. Соответственно, геометрия диска определяется так, как его видит BIOS. Учитывая всевозможные варианты трансляции адресов, полученные результаты вполне ожидаемы. Вы не пробовали использовать в Encase 'Direct ATA' (кажется так это в нем обозвано) вместо 'INT13'? Кстати, даже если создана абсолютно точная копия (диск в диск, точно такая же модель) при дальнейшем исследовании в лаборатоном компьютере могут вылезти сюрпризы, если окажется, что лабораторный компьютер/OS транслирует адреса иным образом, чем это делал изъятый. При исследовании эти особенности трансляции следует учитывать, ибо может оказаться, что обнаруженная картинка "детского порно" (привет yandex) на самом деле находится в области, которая не адресуется на изъятом компьютере, а осталась там, например, от предыдущего владельца, использовавшего не DOS, a Linux.

[Igor Michailov]

Я же писал, что тестировал на четырех разных машинах. Следует отметить, что на старых контроллерах (мат.платы для процессоров Pentium, Pentium-II) Encase для DOS выдает результаты аналогичные BIOSовским, это же подтверждает и утилита от PQ. А вот на новых контроллерах (мат.платы под Pentium –IV и Athlon) – безбожно врет.