H.F.M.
Посетитель
Офлайн
Пол:
Сообщений: 26
С любовью к ближнему
|
|
« Ответ #30 : 16 Апреля 2007, 15:36:18 » |
|
Производители ПО не заинтересованы следовать стандартам, установленным какими-то тупыми прокурорами какой-то далёкой России.
Я не имею в виду тотальную сертификацию всего ПО и обязательную установку на все ЭВМ, а только добровольную, так же, как и с сертификацией средств защиты информации. Корректность и неизменность логов зависит не только от логирующей программы и процедуры съёма информации. Но и от кучи иных факторов.
Например? Мне просто интересно, отчего ещё это может зависеть? (может быть я не знаю - потому что не гуру программирования?) Могу на конкретном примере доказать - что было - и что восстановили.
В смысле? Предоставить НЖМД и восстановленную с него информацию? Или как?
|
|
« Последнее редактирование: 16 Апреля 2007, 15:52:05 от H.F.M. »
|
Записан
|
|
|
|
gur
Гость
|
|
« Ответ #31 : 16 Апреля 2007, 17:50:01 » |
|
Например? Мне просто интересно, отчего ещё это может зависеть? (может быть я не знаю - потому что не гуру программирования?)
Вы читали указанную мной статью http://www.itsecurity.ru/press/technology/p03_1.htm?По моему, автор, достаточно детально отразил все моменты этого вопроса. я считаю правильным мнение о том, что если порядок выемки/ изъятия лог файлов был соблюдён, то приобщение лог файлов в качестве доказательств, как правило, обжаловать не удаётся. Вот только на практике я столкнулась ещё с одним моментом – следователи, прокуроры зачастую не знают, либо не хотят знать порядок проведения следственных действий по изъятию лог-файлов. Помимо заявления ходатайства относительно выемки лог-файлов мне приходится разъяснять эту процедуру. Много возражений со стороны следователей было относительно компетентных понятых, так как «обычных» иногда трудно найти, а тем более «грамотных». Но есть правовой механизм, который содержится в УПК и в некоторых локальных актах Ген. прокуратуры и МВД, позволяющий это сделать. Правда, во многих случаях – это довольно долго, муторно и тяжело. Но что делать? Приходится как-то бороться с некомпетентностью сотрудников. Именно квалифицированные сотрудники ПО и привлечение специалистов, СМИ позволяют эффективно бороться со всеми правонарушениями в сети Интернет. И не надо придумывать новоё Интернет законодательство. В этом вопросе я также согласна с Собецким И.В. – «В действительности практически все вопросы взаимоотношений между пользователями компьютерных сетей и телекоммуникационными компаниями могут быть решены в рамках традиционного гражданского, административного и даже уголовного права». Только процессуальное право надо усовершенствовать на основе судебной практики РФ и других стран. В смысле? Предоставить НЖМД и восстановленную с него информацию? Или как?
НЖМД конечно не смогу, сами понимаете почему, а вот противоположными результатами КТЭ - да, правда без конкретики (Ф.И.О. эксперта, данные ЛСЭ, № уг. дела и др.).
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #32 : 16 Апреля 2007, 18:14:51 » |
|
НЖМД конечно не смогу, сами понимаете почему, а вот противоположными результатами КТЭ - да, правда без конкретики (Ф.И.О. эксперта, данные ЛСЭ, № уг. дела и др.).
Как сказал на одном из форумов los2: "Докажешь свои утверждения на практике?К пример, я выложу образ дискеты или flash disk предварительно сделав один проход(программу которой будут удаляться данные укажу)а ты попробуешь восстановить в более-менее удобоваримом виде."
|
|
« Последнее редактирование: 16 Апреля 2007, 18:15:39 от Igor Michailov »
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
gur
Гость
|
|
« Ответ #33 : 16 Апреля 2007, 19:14:46 » |
|
"Докажешь свои утверждения на практике?К пример, я выложу образ дискеты или flash disk предварительно сделав один проход(программу которой будут удаляться данные укажу)а ты попробуешь восстановить в более-менее удобоваримом виде." я ещё не волшебник, я только учусь нет я не хочу быть гуру программирования - я же всё-таки юрист, но разбираться в технических ньюансах обязана - поэтому и общаюсь с удовольствием с хакерами, кракерами, специалистами по информ. безопасности как говорил Юрикс, хак может расследовать только хакер.
|
|
|
Записан
|
|
|
|
H.F.M.
Посетитель
Офлайн
Пол:
Сообщений: 26
С любовью к ближнему
|
|
« Ответ #34 : 16 Апреля 2007, 20:42:17 » |
|
Да, статья довольно интересная. Осталось только найти примеры из судебной практики - и мне больше ничего, собственно, по логам, и не надо :-) Только вот первоисточник на другом сайте, но это не столь важно. а вот противоположными результатами КТЭ - да, правда без конкретики (Ф.И.О. эксперта, данные ЛСЭ, № уг. дела и др.).
А, собственно, что входит в эти результаты? И всё таки вопрос насчёт "кучи иных факторов" к Николаю Николаевичу Федотову - мне всё-таки хотелось бы узнать по подробней, т.к. не совсем понимаю, какие они, эти факторы? Хотя бы ссылочку на статью/книгу/форум и т.д. как говорил Юрикс, хак может расследовать только хакер.
Хакером можешь ты не быть, но знать как они это делают - обязан :-)
|
|
|
Записан
|
|
|
|
Николай Николаевич Федотов
|
|
« Ответ #35 : 16 Апреля 2007, 21:15:27 » |
|
Корректность и неизменность логов зависит не только от логирующей программы и процедуры съёма информации. Но и от кучи иных факторов.
Например? Мне просто интересно, отчего ещё это может зависеть? (может быть я не знаю - потому что не гуру программирования?) Например, логирующая программа работает совершенно корректно, имеет сертификат на НДВ. Добросовестно передаёт логи лог-серверу syslogd. Предположим, syslogd тоже имеет сертификат. Только вот между ними встроился руткит, который некоторые сообщения изымает. Процедура изъятия тоже соблюдена - компьютер проверили новейшим антивирусом, в базе которого сигнатура этого руткита появится только через месяц, как это обычно бывает (впрочем, и в этом случае руткит не будет обнаружен, если только он активен в момент проверки). Итог: программы имеют справки, процедура соблюдена, а логи-то - неверные.
|
|
|
Записан
|
|
|
|
H.F.M.
Посетитель
Офлайн
Пол:
Сообщений: 26
С любовью к ближнему
|
|
« Ответ #36 : 16 Апреля 2007, 21:48:16 » |
|
Только вот между ними встроился руткит, который некоторые сообщения изымает.
Итог: программы имеют справки, процедура соблюдена, а логи-то - неверные.
Вот Вы к чему. Но это уже вопрос системы защиты информации. ИМХО
|
|
|
Записан
|
|
|
|
Николай Николаевич Федотов
|
|
« Ответ #37 : 17 Апреля 2007, 12:44:20 » |
|
Только вот между ними встроился руткит, который некоторые сообщения изымает.
Итог: программы имеют справки, процедура соблюдена, а логи-то - неверные.
Вот Вы к чему. Но это уже вопрос системы защиты информации. ИМХО Нет, это вопрос сертификации и процедуры. Следует понимать, что наличие сертификата, как и соблюдение процедуры не гарантирует от ошибок. А всего лишь уменьшает вероятность их возникновения. Причём, не сильно уменьшает. Поэтому логика "есть сертификат - принимаем логи, нет сертификата - не принимаем" является недопустимой.
|
|
|
Записан
|
|
|
|
H.F.M.
Посетитель
Офлайн
Пол:
Сообщений: 26
С любовью к ближнему
|
|
« Ответ #38 : 18 Апреля 2007, 17:23:22 » |
|
Поэтому логика "есть сертификат - принимаем логи, нет сертификата - не принимаем" является недопустимой.
На мой взгляд, этот вопрос всё-таки дискуссионный. P.S. Кто-нибудь сталкивался при расследовании компьютерных преступлений с тем, что после узъятия у подозреваемого НЖМД он оказывался зашифрованным? Если да, то как из этого положения выходили? И какие алгоритмы (программы) использовались для шифрования в данном случае?
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #39 : 18 Апреля 2007, 17:37:24 » |
|
P.S. Кто-нибудь сталкивался при расследовании компьютерных преступлений с тем, что после узъятия у подозреваемого НЖМД он оказывался зашифрованным? Если да, то как из этого положения выходили? И какие алгоритмы (программы) использовались для шифрования в данном случае?
Представили диск. Диск оказался зашифрован супер-пупер прогой. Созвонились со следователем и объяснили ему что он может сделать со своим УД если он не вытянет из подозреваемого пароль. Через два дня пароль был следователем представлен. И вообще. Вы первоисточники читать не пробовали? http://foto.radikal.ru/f.aspx?i=6ab7e927a7014b1aad5bda9a55da07b9
|
|
« Последнее редактирование: 18 Апреля 2007, 18:07:43 от Igor Michailov »
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
|
|