gur
Гость
|
|
« : 21 Апреля 2007, 19:29:57 » |
|
Ребята! На основе своей и Вашей практики по КП хочу сделать хороший анализ проблем, возникающих в процессе расследования компьютерных преступлений. Поможете мне его сделать? Вот мой краткий примерный: Проблемы, возникающие в процессе сотрудничества государств и правоохранительных органов в борьбе с компьютерными преступлениями, равно как и проблемы, связанные с сотрудничеством по пресечению и наказанию иных категорий преступлений, можно подразделить на следующие группы: 1. определение места совершения преступления; 2. выявление преступления и выдача преступников; 3. расследование преступления; судебное преследование, в том числе передача судопроизводств; 4. определение места отбывания наказания за совершенное преступление. В отношении компьютерных преступлений проблемы определения места совершения преступления, выявления преступления и его расследования являются наиболее сложными. Указанные преступления имеют высокую степень латентности, способы их совершения обусловливают значительные трудности в раскрытии, поскольку преступники, используя компьютер и коды доступа, остаются, по существу, анонимными. Более того, раскрытие таких преступлений возможно только вследствие привлечения высококвалифицированных специалистов в области компьютерной техники, обладающих не меньшим уровнем знаний, чем хакеры. Раскрытие преступлений усложняется и тем, что преступник, как правило, может находиться в одном государстве, а результаты преступной деятельности проявляются на территориях других государств. Исходя из опыта ведения дел и судебной практики мной выявлены следующие проблемы в раскрытии компьютерных преступлений: 1) Заявление о возбуждении уголовного дела либо вообще не принимается либо выносится постановление об отказе в возбуждении уголовного дела. В связи с этим, не проводятся проверочные мероприятия в соответствии со ст. 144 УПК РФ – не производится изъятие лог-файлов у провайдеров, не ведётся опрос возможных свидетелей, не устанавливаются IP-адреса злоумышленников, не снимаются в установленном УПК порядке следы незаконного доступа к информации и др. Данные обстоятельства существенным образом сказываются на дальнейшем расследовании дела, а именно – доказательства в виде например, лог-файлов стираются с баз данных провайдеров. Это действует на подсознание будущих преступников, которые пользуются этим и продолжают совершать преступные деяния. 2) В исключительных случаях когда всё-таки возбуждается уголовное дело – ряд следственных действий не производится, либо производится, но не в соответствии с установленным порядком в УПК. Так, не производится изъятие лог-файлов, содержащих в себе следы доступа к охраняемой законом информации. А если производится изъятие лог-файлов, то с существенными нарушениями: без привлечения компьютерно- грамотных понятых и специалистов. В ходе судебного процесса данные лог-файлы могут быть исключены из всех доказательств вследствие недостоверности и/или недопустимости. Так, может быть заявлено о том, что понятые не понимали ход и производимые действия следователя, а вследствие этого данные в протоколе следственного действия могут быть поставлены под сомнение. КТЭ (компьютерно-техническая экспертиза) проводится экспертами, не обладающими специальными познаниями в области проведения КТЭ с существенными нарушениями УПК: 1. так во многих случаях КТЭ проводится непосредственно на жестком диске без снятия образа диска. 2. в заключении КТЭ не устанавливается соответствие системного даты и времени текущим (реальным) значениям даты и времени. 3. при производстве КТЭ используются контрафактные программы и не сертифицированное оборудование, что категорически запрещено делать. 4. для восстановления данных НЖМД используются устаревшие и неэффективные программы: Partition Table Doctor v3.0, PC Inspector File Recovery, O&O Disk Recovery 3.0, Easy Recovery Pro 6.04. 5. нарушается ст. 204 УПК – в заключении не указывается дата, время, место проведения КТЭ, учёное звание или степень эксперта, содержание и результаты исследований с указанием примененных методик. Вышеуказанные нарушения приводят к тому, что злоумышленники зачастую остаются безнаказанными, отсюда рост и модификация компьютерной преступности, трансформация её в более сложные по способам и методам неправомерные действия правонарушителей. Список проблем не полный, все косяки не учтены по этим делам. На основе обобщения всех проблем и «косяков» выводы анализа должны содержать конкретные предложения по усовершенствованию процесса расследования КП и доведение дел до судебного процесса.
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #1 : 21 Апреля 2007, 20:35:42 » |
|
Одной из серъезных проблем, не указанных Софией являются неотложные действия совершаемые сотрудниками СОГ при проведении ОМП. Как правило, кроме КТ ничего не ищется и не измается, ни традиционные криминалистические следы, ни сменные носители данных: флэш-накопители, лазерные оптические диски, дискеты и т.д. Одной из серъезнейших проблем, о которой уже более года бъют во все колокола эксперты - это упаковка изымаемых объектов. До следователей и оперативников не доходит, что не достаточно наклеить на кнопку пуск и на разъемы блока питания бумажки со слабовидимыми оттисками непонятно каких печатей !!! Упаковка должна быть таковой чтобы сторонее лицо даже имея умысел на замену/изменение информации на изъятых носителях не могло осуществить подмену доказательств. Иначе титанический труд следователей, оперативников, экспертов пропадет даром, т.к. адвокат развалит дело на том основании, что информация на изъятых компьютерах могла быть изменена/подброшена. Еще момент. Осмотр техники проводимый следователями. По УПК следователь производит осмотр изъятых объектов и признает их вещ.доками по делу. Как осматривается информация на компьютере ? Правильно, следователь подключает к изъятому системному блоку монитор, мышь, клавиатуру и включает его в сеть. Все усилия экспертов по сохранению целостности и неизменности изъятой информации идут прахом.
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Urix
Гость
|
|
« Ответ #2 : 21 Апреля 2007, 21:13:37 » |
|
Упаковка должна быть таковой чтобы сторонее лицо даже имея умысел на замену/изменение информации на изъятых носителях не могло осуществить подмену доказательств. Иначе титанический труд следователей, оперативников, экспертов пропадет даром, т.к. адвокат развалит дело на том основании, что информация на изъятых компьютерах могла быть изменена/подброшена Проблема более общая и является следствием легкости добавления/удаления/изменения информации на специально для этого предназначенных носителях. Осмотр техники проводимый следователями. По УПК следователь производит осмотр изъятых объектов и признает их вещ.доками по делу. Как осматривается информация на компьютере ? Правильно, следователь подключает к изъятому системному блоку монитор, мышь, клавиатуру и включает его в сеть. Это только грязнули, которые свой прибор на помойке нашли, могут его совать куда угодное без предохранения. А таких, как я понял, подавляющее большинство.
|
|
|
Записан
|
|
|
|
CyberCop
|
|
« Ответ #3 : 22 Апреля 2007, 09:50:38 » |
|
Игорь прав на все 100% !
|
|
|
Записан
|
|
|
|
Николай Николаевич Федотов
|
|
« Ответ #4 : 22 Апреля 2007, 13:19:26 » |
|
3. при производстве КТЭ используются контрафактные программы и не сертифицированное оборудование, что категорически запрещено делать.
Цитированное утверждение не основано на законе. Запрета на использование указанных программ и оборудования в судебных целях не существует. Что же касается несертифицированного оборудования... Следует понимать, что различных сертификаций, добровольных и обязательных, существуют сотни видов. Когда я слышу про "несертифицированное оборудование", всегда вспоминаю старшего сержанта милиции Зинатулина, который всегда говорил: "Нельзя без справки"; любая бумажка с синей печатью воздействовала на него магически.
|
|
|
Записан
|
|
|
|
H.F.M.
Посетитель
Офлайн
Пол:
Сообщений: 26
С любовью к ближнему
|
|
« Ответ #5 : 22 Апреля 2007, 16:12:48 » |
|
1. так во многих случаях КТЭ проводится непосредственно на жестком диске без снятия образа диска.
Извините за, может, глупый вопрос, но зачем? А как, например, с образа восстановить удалённые данные? Или я чего-то не правильно понял?
|
|
|
Записан
|
|
|
|
Igor Michailov
|
|
« Ответ #6 : 22 Апреля 2007, 16:18:24 » |
|
Извините за, может, глупый вопрос, но зачем? А как, например, с образа восстановить удалённые данные? Или я чего-то не правильно понял?
Образ, например, логического диска, можно смонтировать программой Mount Image Pro. При этом в системе появится еще один логический раздел, представляющий собой копию реального логического раздела (содержащий как и реальный раздел данные находящиеся на нем в явном виде и в удаленном). Восстановить можно любыми утилитами для этого предназначенными. Нет никаких проблем.
|
|
|
Записан
|
Юридические консультации.
Помощь в составлении жалоб и ходатайств.
Заверение контента сайтов, Интернет-страниц, электронной почты.
|
|
|
Urix
Гость
|
|
« Ответ #7 : 22 Апреля 2007, 16:38:18 » |
|
Извините за, может, глупый вопрос, но зачем? А как, например, с образа восстановить удалённые данные? Или я чего-то не правильно понял? Не поняли Вы то, что в отличии от "белого порошка" информация прекрасно тиражируется. Создали точную копию информации с исследуемого носителя и работайте с ней хоть до посинения. Восстанавливайте, переустанавливайте, удаляйте, изменяйте. А исходный носитель не трогайте - он является вещдоком, содержащим на себе следы преступления. А так почему-то, наверное от большого ума, никто не делает.
|
|
« Последнее редактирование: 22 Апреля 2007, 16:39:57 от Urix »
|
Записан
|
|
|
|
H.F.M.
Посетитель
Офлайн
Пол:
Сообщений: 26
С любовью к ближнему
|
|
« Ответ #8 : 22 Апреля 2007, 17:29:12 » |
|
Образ, например, логического диска, можно смонтировать программой Mount Image Pro. При этом в системе появится еще один логический раздел, представляющий собой копию реального логического раздела (содержащий как и реальный раздел данные находящиеся на нем в явном виде и в удаленном). Восстановить можно любыми утилитами для этого предназначенными. Нет никаких проблем.
Про систему создания/монтирования образов диска знаю не понаслышке. Но вот про восстановление данных с них... Возможно. Но, тем не менее, в отдельных случаях будет непосредственный доступ к НЖМД будет необходим (после затирания данных нулями или др. информацией). Не поняли Вы то, что в отличии от "белого порошка" информация прекрасно тиражируется. Это-то, я как раз прекрасно понял :-) Создали точную копию информации с исследуемого носителя и работайте с ней хоть до посинения. Восстанавливайте, переустанавливайте, удаляйте, изменяйте. А исходный носитель не трогайте - он является вещдоком, содержащим на себе следы преступления.
Ясно. Умный вещь.
|
|
|
Записан
|
|
|
|
Urix
Гость
|
|
« Ответ #9 : 22 Апреля 2007, 17:39:38 » |
|
Это-то, я как раз прекрасно понял :-) "Понял" (в отличии от "знаю") предполагает еще и умение активно применять "знаю". Но вот про восстановление данных с них... А взять пустой диск и проверить? Я такие фичи проделывал еще в прошлом веке для DOS-а в рамка UNIX-овой файловой системы.
|
|
« Последнее редактирование: 22 Апреля 2007, 17:39:57 от Urix »
|
Записан
|
|
|
|
|
|