Форум ''Интернет и Право''
27 Ноября 2024, 11:34:09 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2 3 4   Вниз
  Печать  
Автор Тема: Возможность фальсификации доказательств  (Прочитано 18067 раз)
Сitizen
Посетитель
*
Офлайн Офлайн

Сообщений: 43



« : 01 Февраля 2010, 21:20:53 »

Вот нашел интересную статью на Компьютерра-онлайн, хоть и за 2007 год: "Улики под сомнением".

Собственно вопрос к экспертам. Трудно ли, по вашему мнению, подделать доказательства, извлекаемые из компьютера? Скажем, установить необходимые программы, скопировать порнографию, тексты экстремистского содержания и так далее, а затем придать этому всему правдоподобность (изменить дату, время и т.д.). И как при этом контролируется проведение компьютерно-технической экспертизы?
« Последнее редактирование: 01 Февраля 2010, 21:23:07 от Сitizen » Записан

Все сказанное в этом сообщении является моим субъективным мнением и должно оцениваться критически. Просьба сильно не "пинать", если это сообщение или какая-либо его часть кажется Вам полной ахинеей.
JAW
Участник
**
Офлайн Офлайн

Сообщений: 661


С любовью к ближнему


« Ответ #1 : 01 Февраля 2010, 22:19:44 »

Вот нашел интересную статью на Компьютерра-онлайн, хоть и за 2007 год: "Улики под сомнением".

Собственно вопрос к экспертам. Трудно ли, по вашему мнению, подделать доказательства, извлекаемые из компьютера? Скажем, установить необходимые программы, скопировать порнографию, тексты экстремистского содержания и так далее, а затем придать этому всему правдоподобность (изменить дату, время и т.д.). И как при этом контролируется проведение компьютерно-технической экспертизы?

Как два пальца. Если эксперт не полный лох...
К счастью такими вещами развлекаются исключительно лохи...

Поскольку я таки не эксперт и не юрист, то скажу, как один раз юриста фирмы прижучил (Увольняли тёщу с работы по статье)... Он умудрился нарисовать 3 приказа о выговоре с занесением в трудовую одним и тем же почерком, одной и той же ручкой (чернила не просохли) с датами ровно в месяц разницы. На что ему было указано... Было сказано, что хоть я и не эксперт, но любой эксперт в состоянии это установить. В результате добился увольнения с соответствующими компенсациями... (Этот придурок ещё догадался признаться в присутствии свидетелей).

В общем лохов много, и рассчитывают именно на них. И это нас, местами, спасает.
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #2 : 01 Февраля 2010, 22:28:46 »

Трудно. При подделке доказательств нужно не только сделать скопированные файлы "не выделяющимися" в системе, но и создать следы работы с этими файлами. И одним изменением временных меток тут явно не обойтись.
Записан
JAW
Участник
**
Офлайн Офлайн

Сообщений: 661


С любовью к ближнему


« Ответ #3 : 01 Февраля 2010, 22:38:54 »

Следы обращения к файлам создать не сложно, но это и не нужно...
Даты создания и модификации файлов будет достаточно.

Вообще имела бы смысл технология создания образа диска с составлением полных контрольных сумм этого образа в присутствии подозреваемого с передачей ему контрольных сумм. Ну, или что-то подобное...

К сожалению, эти гадики просто заклеивают корпус компьютера скотчем...
А эксперты просто запускают комп и начинают там шерудить.
Собственно они сами вполне способны с того компа накачать детской порнухи, поменять даты файлов и всех делов...

P.S. Вот интересно... Я не знаю где качать детскую порнуху... Интересно, эксперты в курсе откуда? И откуда они в курсе?
Записан
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #4 : 01 Февраля 2010, 22:52:27 »

Цитировать
Следы обращения к файлам создать не сложно, но это и не нужно...
Даты создания и модификации файлов будет достаточно.

Тогда вот вам задачка:

Дано: НЖМД с единственной установленной ОС (Windows 7).
Задача: залить туда ПО с "признаками контрафактности" и всяких разных картинок.

Я уверен, что даже продвинутый гик не сможет предложить решение задачи, при котором не остается ни одного типичного следа фальсификации. Хотите опровергнуть? Подмигивающий
Записан
Сitizen
Посетитель
*
Офлайн Офлайн

Сообщений: 43



« Ответ #5 : 01 Февраля 2010, 22:52:31 »

И одним изменением временных меток тут явно не обойтись.
Под приданием правдоподобности я подразумевал изменение всех необходимых для этого метаданных, включая временные метки, идентификатор пользователя и т.д.

Трудно.
То есть, как минимум, это возможно. Тогда более актуальным становится именно второй вопрос, который я задал вначале этой темы.
Записан

Все сказанное в этом сообщении является моим субъективным мнением и должно оцениваться критически. Просьба сильно не "пинать", если это сообщение или какая-либо его часть кажется Вам полной ахинеей.
Сitizen
Посетитель
*
Офлайн Офлайн

Сообщений: 43



« Ответ #6 : 01 Февраля 2010, 23:02:15 »

Я уверен, что даже продвинутый гик не сможет предложить решение задачи, при котором не остается ни одного типичного следа фальсификации. Хотите опровергнуть? Подмигивающий
То есть Вы категорично отвергаете возможность подделки доказательств без оставления следов о фальсификации?

P.S. Было бы неплохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите этого делать в силу каких-то определенных причин, то я Вас пойму.
« Последнее редактирование: 02 Февраля 2010, 02:33:57 от Сitizen » Записан

Все сказанное в этом сообщении является моим субъективным мнением и должно оцениваться критически. Просьба сильно не "пинать", если это сообщение или какая-либо его часть кажется Вам полной ахинеей.
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #7 : 01 Февраля 2010, 23:18:10 »

Цитировать
То есть Вы категорично отвергаете возможность подделки доказательств без оставления следов о фальсификации?

Я допускаю такую возможность. Но это маловероятно... и по большому счету всё зависит от знаний того, кто подделывает, и того, кто ищет.

Цитировать
P.S. Было бы не плохо, если бы Вы привели примеры этих типичных следов фальсификации. Но если Вы не хотите это делать в силу каких-то определенных причин, то я Вас пойму.

Пример: проект Metasploit предоставляет утилиту Timestomp (http://www.metasploit.com/research/projects/antiforensics/), предназначенную для изменения временных меток MAC(E) в файловых системах FAT и NTFS. Данная программа оставляет очень хороший след в NTFS - она изменяет лишь 4 временных метки из 8. Поэтому у вас не получится скопировать на подключенный носитель с NTFS пару файлов, а затем изменить их временные метки без каких-либо следов.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #8 : 01 Февраля 2010, 23:20:15 »

НЖМД с единственной установленной ОС (Windows 7).
Если не секрет, почему выбрана именно эта операционная система?
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
eleron
Участник
**
Офлайн Офлайн

Сообщений: 148


С любовью к ближнему


« Ответ #9 : 01 Февраля 2010, 23:31:34 »

Цитировать
Вообще имела бы смысл технология создания образа диска с составлением полных контрольных сумм этого образа в присутствии подозреваемого с передачей ему контрольных сумм. Ну, или что-то подобное...

Вряд ли это возможно. Хотя бы потому, что даже самые-самые forensically sound дистрибутивы Linux в некоторых случаях могут вносить изменения в исследуемые данные. И, вероятно, придется очень долго ждать, когда хотя бы 90 % судебных дистрибутивов будут "пуленепробиваемыми".

Кроме того, на Storage Developer Conference ребята из Майкрософт упоминали об "умных" SSD, которые самостоятельно обрабатывают свободное пространство ФС FAT для выравнивания изнашивания (т.е. данные могут измениться в любое время работы диска даже при использовании блокировки записи).
Записан
Страниц: [1] 2 3 4   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines