Форум ''Интернет и Право''
29 Ноября 2024, 19:46:36 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Оригинал или копию на экспертизу?  (Прочитано 11258 раз)
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« : 07 Января 2007, 12:52:01 »

Вчера нами была затронута тема представления на компьютерную экспертизу копии диска вместо оригинала. Например, во время обыска можно изъять диск сервера целиком, а можно на месте скопировать всё его содержимое (естественно, на низком уровне, на уровне контроллера) на свой диск. Действительно, вопрос.

Допустимо ли с процессуальной точки зрения?

Разумно ли с технической точки зрения?

А. Копирование носителя до передачи на экспертизу (в ходе обыска или выемки)
Б. Копирование носителя в ходе экспертизы

Есть следующие аргументы.

1. Некоторые методы исследования носителя непременно требуют оригинала. Другие методы с равным успехом работают с копией. Во время изъятия может ли специалист предположить, какие вопросы поставят перед экспертом, и какие методы тот станет применять? По-моему, может.

2. Возможны ошибки при копировании диска. Их возникновение ставит под угрозу проведение экспертизы вообще. Но насколько вероятны такие ошибки? Верификация после копирования носителя разве не решит проблему? По-моему, решит.

3. Достаточна ли компетентность специалиста, участвующего в следственном действии, проводящего копирование диска? По-моему, найти такого специалиста несложно.

4. Поймут ли понятые суть происходящих действий? Изъятие и опечатывание диска им безусловно понятна. А снятие копии? Смогут ли они уверенно утверждать, чтО именно проделывал специалист? По-моему, им этого понимать и не обязательно.

5. Может ли произойти при копировании диска утрата некоторой информации? Например, заводской номер диска, число секторов. По-моему, утраты не произойдёт.

6. Если применять снятие копии вместо изъятия оригинала носителя, это позволит не прерывать (или прервать ненадолго) рабочий процесс у владельца носителя. Остановить работу сервера на несколько дней ради проведения экспертизы – за что потерпевшему или непричастному провайдеру такое наказание?

7. В некоторых случаях копирование носителя страхует от потери данных вследствие недолговечности оригинального носителя. Например, в случае КПК. По-моему, лучше на месте снять копию памяти, чем до экспертизы поддерживать КПК в заряженном состоянии (не нарушая целостность печатей, гы).
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #1 : 07 Января 2007, 20:02:46 »

Я бы дополнил обсуждение еще одним вариантом - изготовление рабочей копии, которая в случае необходимости устанавливается вместо оригинального диска, который в свою очередь изымается. Понятно, что метод тоже не лишен недостатков (например привязка ПО к серийному номеру диска), но, ИМХО, во многих случаях при наличии такой возможности может быть более приемлем и для экспертных целей и для владельца компьютера.
Записан

Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #2 : 10 Января 2007, 03:15:32 »

1. <skip>.
Сомневаюсь, что специалист в момент изъятия может с достаточной степенью уверенности определить, какие средства противодействия могли использоваться для сокрытия следов и, следовательно, определить какие методы исследования должны быть использованы для их обнаружения.  И путь, который выберет защита, он определить с уверенностью не сможет... Но, если говорить о НЖМД, то, ИМНО, методы исследования, требующие обязательного наличия оригинала, в подавляющем большинстве случаев применяться не будут не по причине отсутствия оригинала, а потому, что стоимость такого исследования, на порядки превзойдет размер ущерба от преступления.
2. <skip>.
+1
3. <skip>
Надеюсь, что да.
4. <skip>
В общем +1, но лучше все-таки, чтобы понимали. ИМНО, понятых "с пониманием" найти не сложнее, чем специалиста.
5. <skip>
Конечно указанные вами параметры не будут утрачены, если при осмотре их зафиксировать в протоколе  Подмигивающий
6. <skip>
Как я уже писал выше, выходом может быть копирование с заменой оргинала на копию в работающей системе и изъятием самого оригинала. Но с учетом сказанного в 1), полагаю, что и изъятие копии вместо оригинала в подавляющем большинстве случаев вполне уместно и достаточно для экспертизы. Сомнения, правда, терзают по поводу допустимости такого с точки зрения существующего законодательства.  
7. <skip>
+1
Записан

CyberCop
Специалист
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #3 : 10 Января 2007, 21:16:09 »

     Представляется, что грамотно снятого образа диска будет достаточно для его последующего использования в качестве источника доказательства по уголовному делу.  Веселый
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #4 : 10 Января 2007, 23:12:44 »

Гм, а что Вы понимаете под словами "грамотно снятого"? И чем?
« Последнее редактирование: 11 Января 2007, 00:05:57 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
CyberCop
Специалист
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #5 : 14 Января 2007, 00:57:04 »

Гм, а что Вы понимаете под словами "грамотно снятого"? И чем?
    Игорь!  Веселый  Мне представляется, что в этом Вы лучше меня должны разбираться.  Подмигивающий  Вроде как на нашем "экспертном сборище" с Вашим присутствием этот вопрос разбирался?  Смеющийся
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #6 : 14 Января 2007, 01:01:22 »

На самом деле, ответ не столь очевиден. Подмигивающий
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #7 : 16 Января 2007, 19:52:07 »

Гм, а что Вы понимаете под словами "грамотно снятого"? И чем?
Если позволите, я отвечу.

Корректность снятия копии содержимого (образа) диска задаётся 4 параметрами:
  • совпадение копии с оригиналом;
  • возможность верификации;
  • неизменность оригинала;
  • детектирование внешних ошибок.
Именно такая идеология использовалась в National Institute of Justice при тестировании инструментов для копирования. Отчёты смотреть здесь (раздел REPORTS).

Вкратце. Можно считать выдержавшими тест:
  • dd из состава ОС FreeBSD 4.4 (без ошибок)
  • Encase версии 3.20 (с тремя ошибками)
  • Safeback версии 2.18 (с двумя ошибками)
  • Safeback/DOS версии 2.0 (с четырьмя ошибками)
  • dd из состава GNU fileutils 4.0.36, ОС Red Hat Linux 7.1  (без ошибок)
...А то на форуме кое-кто позволял себе пренебрежительное упоминание про dd.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #8 : 16 Января 2007, 21:06:48 »

А то на форуме кое-кто позволял себе пренебрежительное упоминание про dd.
Э-э-э, Николай Николаевич, Вы программу dd c аппаратным устройством  HDD не путаете? Подмигивающий

Есть еще одна очень интересная проблема- как подтвердить легитимность  создаваемого образа если НЖМД "сыпется" (т.е. для него при каждом подсчете получается другое значение MD5)?

И еще вопрос, можно вот про это:
"
  • совпадение копии с оригиналом;
  • возможность верификации;
  • неизменность оригинала;
  • детектирование внешних ошибок.
"
поподробнее. Как Вы хотите это реализовать?
« Последнее редактирование: 16 Января 2007, 21:13:55 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Urix
Гость


E-mail
« Ответ #9 : 17 Января 2007, 23:59:34 »

Цитировать
Есть еще одна очень интересная проблема- как подтвердить легитимность  создаваемого образа если НЖМД "сыпется"
"Сыпется" не весь диск, а конкретный трэк или сектор. Unix сильно ругается на это дело и если dd не указать специально опцию "продолжать после ошибки", то система сваливает его. Ругань всегда есть в логах. Когда диск сыпался, то нужно делать несколько копий диска в разные файлы и при этом начальная температура диска после включения должна быть разной - от 20 до 10 C с шагом 2-3 C. Чаще всего помогает. Потом в отчете надо указать о проделанной работе по восстановлению инфы.

Если используется виндоза, то "осыпание" может быть еще и результатом заражения системы вирусняком. Поэтому виндозу крайне нежелательно использовать для ентих дел. Неуправляемая.
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines