Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 След.
RSS
Доказательная сила логов
 
Обсуждение статьи Доказательная сила логов
 
Цитата
Сами по себе логи никакой доказательной силы не имеют. Доказательствами по делу служат "производные" от логов материалы:

   * протокол осмотра,
   * заключение эксперта,
   * заключение специалиста,
   * показания свидетелей, понятых, эксперта и специалиста касательно осмотра и интерпретации логов.
фигня какая-то
односторонний подход к проблеме
между прочим, даже если принять во внимание "чистоту" и "корректность" логов, совсем не очевидно, что именно подозреваемый совершил деяние
возможно, комп того чувака зомбирован или кто-то ломанул его домашнюю беспроводную точку из машины, которая остановилась под окнами
ИМХО, ни логи, ни производные от них не могут являться доказательством. больничный журнал посещений не является доказательством для обвинения в убийстве пациента. только если человек, заносивший туда запись лично опознает посетителя, только тогда его можно будет в чем-то заподозрить.
это как если бы подозревать в краже из магазина по ближайшему времени записи в книге жалоб и предложений - читаем подпись - ага чувак, попал
 
Пока нет идентификации по отпечатку пальца и средств надёжной криптографической защиты потока информации информация полученая из логов не может быть доказательством... максимум средством устрашения подозреваемого и\или указанием где искать улики которые действительно можно использовать.

ЗЫ: как правило логи испльзуются только для устрашения, показываем и далее чел сам во всём сознаётся :)
 
Я бы предположил, что автор делится своим опытом в данной сфере. У меня другой опыт сбора доказательств по тем или иным делам, где меня привлекали как эксперта. У нас в России эта область пока не проработана и каждый следователь по своему проводит расследование компьютерных преступлений. Где-то то, что описано в статье вполне применимо, где-то нет.
Luka
 
Все это чепуха, теперь когда в мире власть благодаря биллгейтсу и его виндовс перешла к создателям вирусов, держателям зомби-сетей и спамерам - то любой жулик может сказать что это не он все сделал, а вирус на его компьютере был и все нашкодил - и все и ничего никто доказать кроме как на основе собственных признаний - не может.
Пора люди соскакивать с иглы микрософт с ее стоящей за спиной "риском уголовного преследования" - как на сайте микрософт и предупреждено.
 
Пока не будет унифициована система логирования для всех ОС без исключения ни о какой ответвенности на базе прОтоколов и т.д. и т.п. говорить не имеет смысла. Ошибка в программе логирования признанная производителем не является поводом для принятия решения в пользу потерпевшего или виновника. На вершине пирамиды хаоса действительно Билл, но это не оправдание. В действительности только журналирование пакетов обмена на уровне протокола IP и их детальный анализ как минимум с двух сторон (инициатор - получатель/ретранслятор) может дать нужный результат, да и то не всегда. IMHO.
 
Лог всё равно - простой текст, который может быть создан хоть сервисом, отмечающим события, хоть написанным собственноручно/по шаблону скриптом и т.п.
Помнится, тут на секлабе даже новость пролетала о фальшивой банковской БД, просто сгенерированной ради наживы.
Если подумать, то косвенно подтвердить хоть какую-то реальность лога можно взяв логи провайдера, проксей и т.п. с целью выяснения хотя бы времени доступа, кол-во траффика, запросов на линки и т.п.
 
Фигня это все...Если комп нормально "закрыт" - ни один спец не вскроет (ДрайвеКриптПлюсПак). Не поможет ни установка другого харда,где права админа у проверяющего, ни др. "примочки". Статья рассказывает как ловят ламеров. Запись в логах прова... :) Детский сад конца прошлого века. VPN-тунеля с шифрованием трафика не существует? :) Чикагский Дата-центр в помощь... ;) И пусть провайдер и все так наз. "эксперты" смотрят до посинения... :)
Если кто-то начнет возражать, типа "опера" скажут, что "что это за трафик шифрованый?" Всегда можно сказать, что работаешь консультантом (по веб-дизайну или что-то  типа того, А КОГДА ТЫ ИХ ПРОКОНСУЛЬТИРУЕШЬ, ТОГДА ОНИ ТЕБЕ ПО ПОЧТЕ ПРИШЛЮТ ЗАРПЛАТУ)  ну или на счет в сбербанке... :) а тунель- это связь с сервером их фирмы..."Мурка Инкорпорейтед" (варианты придумайте сами...:)  )
А то логи... :) Прям анекдот... :)
 
Цитата
При участии следователя, квалифицированных понятых, специалиста и представителя владельца сервера нужный сервер отключается, опечатывается должным образом и отправляется на экспертизу.

да да да ! это самый удобный вариант для следака - пострадавший или сам откажется от претензий или же сам найдет виновного или же будет просто грызть ногти пока эксперты с умным видом будут раскурочивать его сервак на запчасти
 
Цитата
Не могут являться доказательством логи (их копии, распечатки, акты осмотра), полученные заинтересованной стороной.

то есть логи которые выдал пострадавший ни на что не годятся ? а где *другие* логи спрашивается - у хацкера на машине ? у промежуточного провайдера ?
 
Цитата
Где-то то, что описано в статье вполне применимо, где-то нет.
Алексей, поясните пожалуйста, где именно в России неприменимы описанные методики.
 
был свидетелем процедуры "изъятия логов сервера".
логи были просто в присутствие понятых распечатаны на принтере.
Стоит заметить, что распечатаны они были заранее подготовлено, из них было вырезано все личшнее, (ибо 100 мег текстовых логов не распечатаешь). В общем был всего лишь распечатан заранее подготовленный текстовый файл.
ПС.
кроме логов были и другие доказательства.
 
Хорошая статья. А вот в комментах сплошные вопли людей, не разбирающихся в праве, к сожалению.
 
Цитата
Автор пишет:
Алексей, поясните пожалуйста, где именно в России неприменимы описанные методики

 Ответ в начале вашей же статьи:

Цитата
Автор пишет:
В судебно-следственной практике автор встречал такие крайности, как полное отрицание следователем какого-либо значения логов вообще или принятие судьёй в качестве доказательства распечатки логов, принесённой потерпевшим (даже без подписи).

 Такое понятие, как "судебная практика" еще никто не отменял.

 На мой взгляд нужна четкая инструкция/руководство, утвержденное высокими чинами МВД, которое будет использоваться следователями и приниматься судами.
Luka
 
2 nuclight
Право правом, а информация информацией.
Статья, да, отражает именно правовой подход. Только, как говорится, "страшно далеки они от народа" с точки зрения подхода технического. И уж совсем другой вопрос, что горе-судьи могут и простую распечатку с принтера как вещдок приобщить к протоколу судебного заседания, и на основе его приговор вынести.
 
Как правило логи, да и вообще компьютерно-техническая экспертиза, являются не единственным доказательством по уголовному делу.
 
"Деревенский вариант" из данной статьи это предел возможностей наших спецслужб в крупных городах и то только при очень серьезных преступлених. А "Столичный вариант", к сожалению, существует ТОЛЬКО В ТЕОРИИ!
Статья интересная и познавательная, но это всего лишь статья. Поверьте, я все это знаю не по наслышке.
И эти самые логи чаще всего нужны не для суда, а чтобы кинуть их на стол перед "хакером" на допросе и сказать: "Вот логи, у нас есть на тебя все доказательства, бесполезно "отнекиваться". Сознайся!".
Потому что они знают, что если в этот момент хакер не сознается, то 90% вероятность что ничего доказать не смогут. Ну, естественно, многие сознаются, потому что доблестные сотрудники одними логами на допросе не ограничеваются ;)
P.S. Николай Николаевичу respect за статью :)
 
Цитата
"Деревенский вариант" из данной статьи это предел возможностей наших спецслужб в крупных городах и то только при очень серьезных преступлених. А "Столичный вариант", к сожалению, существует ТОЛЬКО В ТЕОРИИ!
+1

На Украине был свидетелем разбирательства по поводу элементарнейшего (даже не "несанкционированного доступа к оборудованию" как было заявлено в деле) хака - запроксили VoIP траф через "незащищенную" ACL'ом циску (прогнали войса из-за бугра на сумму порядка ~$160k). Так вот, если не брать во внимание саму судовую процедуру (где все рашалось взятками и знакомствами), цель которой была всетаки установить кому же за все это дело расплачиваться (естественно истинных аццких злодеев это не коснулось :) ), то изъятие и экспертиза (эти слова смело можно взять в кавычки) проводились в лучшем случае по методу - "Деревенский вариант".

Логи апача - тривиальный пример. На Украине уголовные дела по поводу простых дефейсов не заводят (практически ежедневная ситуация в крупных ISP). Есть смысл разбирательства только в том случае, если в деле замешаны ну очень большие деньги.
 
Цитата
На Украине был свидетелем разбирательства по поводу элементарнейшего (даже не "несанкционированного доступа к оборудованию" как было заявлено в деле) хака
украину только не надо сравнивать
у нас в 90-е годы не было такой коррупции как сейчас на украине - знакомый из украины был свидетелем как один чувак, сбивший пешехода прям на глазах у гаишников и еще десятка людей просто вышел из машины, отстегнул ментам и поехал дальше
еще рассказывали, как чувак, бывший просто свидетелем избиения и позвонивший в ихнюю ментуру, стал главным подозреваемым по этому делу (нападавшие скрылись) - пришлось ему платить 2 килобакса что бы оставили в покое.
вот такая веселая жизнь ща на украине
 
Дело не в том, что Украина или Россия. На одной из конференций чин из МВД прямо заявил, что они дела открывают только в том случае, если нанесен большой финансовый ущерб. Причем могу предположить, что ущерб должен быть выше затрат на работу следователей. В противном случае никто за дело браться не будет. Поэтому ни какой дефейс, никакая DoS, никакой взлом не повлечет за собой открытие дела - ущерб либо мал, либо не посчитать.
Luka
Страницы: 1 2 3 След.
Читают тему (гостей: 1)