Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
Доказательная сила логов
 
Статья написана интерестно, а главное (ну на мой не очень независимый взгляд) понятно. Вечером буду испытывать на отчиме (полковник в отставке), интерестно поймет или нет. Так или иначе автору большое спасибо за грамотно написанную статью.
 
Интересная статья, хотя информация для меня не была новой. Почему то совсем не вспомнили принцип двойной записи, обошли факт наличия в органах собственных спецов, именно на их мнение и полагается следователь. Опять таки, не вспомнили наличие сертифицированного ПО, логи которого по определению кондиционны. Только это всегда меня настораживало:
Цитата
При участии следователя, квалифицированных понятых, специалиста и представителя владельца сервера нужный сервер отключается, опечатывается должным образом и отправляется на экспертизу..
В качестве альтернативы изъятию сервера целиком возможно снятие на месте полной копии его дисков..
ага, а потом инфа с этого компьютера становится общенародным достоянием. полбеды если хозяин хранил на дисках только свои данные, ну скопируют у него полезные проги, ну фотки потырят, хотя лично мне было бы неприятно. А если там личка на тысячи человек? Околосудебные службы у нас, знаете ли, не слишком строго отвечают за разглашение, а хозяину изъятого компа потом перед людьми отвечать.
 
Цитата
ни какой дефейс, никакая DoS, никакой взлом не повлечет за собой открытие дела - ущерб либо мал, либо не посчитать.
То-то тут раз в пару месяцов появляется очередная статья про пойманного мегахакера, ограбившего родной ВУЗ/банк/офис на 239.07руб путём несанкционированного использования диалапа. И ничего, уголовные приговоры выносят, судимость вешают.. :(

Авторуза статью спасибо: может, не слишком жизненно, но красиво и грамотно расписано. Неплохой шаблон для инструкции МВД, а то и для дополнений к закону.
 
Злоумышленику очень просто отмазаться, достаточно подсадить на свою машину какой-нибудь паленый троянчик с прокси сервером на борту, сделать пару коннектов на проксю с удаленных шеллов чтобы зафиксировать это в логах провайдера (а это уже через другого интернет оператора, дабы не выглядило подозрительно) и все, при напирании следаков играть под дурака и говорить "это не я, это наверное какой-нибудь злобный вирус!".

По поводу биллогетсовских зомбарей о которых кричал кто-то ту выше - порутаных юниксовых тачек не на много меньше чем виндовых, да и под юниксовый софт периодически появляются локальные и удаленные эксплоиты. Не говоря о том что коряво написанный движок сайта постоянно становится причиной создания юниксовых ботнетов (простенький скриптик находит пару тысяч сайтов крутящихся на этом движке, производит взлом и добавляет себе в базу). Такие ботнеты можно использовать хоть для спама, хоть для доса хоть для прокси хоть для чего.
 
Мне кажется что на логи вообще опираться никак нельзя потому что не существует никакой методики определить истинный это лог или сфальсифицированный. Ограничение доступа может только предполагать что лг не правился третьими лицами. И даже это не факт. Допустим что доступ какое-то время не был ограничен для кого-то а потом админ это заметил и поставил ограничение. А спустя неделю приехали спецы - доступы вроде как правильные - можно предположить что лог не изменялся. Но даже и если все путем то никто не ограничит администратора от внесения изменений. Если на него к примеру нажмет руководство или конкуренты или он сам имеет свои мотивы (которые не очевидны для следователя и поэтому он вне подозрений) то он можек как угодно поправить логи и подставить любого человека явно указав что доступ был с его компьютера. И сей факт нельзя опровергнуть даже если с момента события не было зарегистрировано коннектов к системе потому что этот лог тоже можно изменить. Короче если человек грамотный или имеет грамотных знакомых и хорошего адвоката и если к тому же все отрицает и без подсказки адвоката и специалиста ничего не говорит и не подписыват то все это чепуха. Человек невиновен пока не доказано обратное. А то что логи не изменялись доказать не возможно.
Естественно чаще всего следователю эти доказательства не нужны. Либо в силу того что по причине своей ограниченности он доверяет "экспертам" или просто своему чутью или другим факторам но так или иначе будучи уверен что подозреваемый виновен и попросту валяет ваньку он выбьет признание потому как пытки угрозы и прочий арсенал никто не отменял. Думаю по большей части посаженные студентики обрабатывались нужным образом да и дело с концом. Пригрозят что подсадят к уголовничкам как женщину - что угодно подпишет. А там потом отказывайся от своих признаний "под нажимом" - никому это не интересно. Мало верится что там где большие деньги нет взяточничества. Захотят кого-то сделать козлом отпущения - сделают.
В разрезе вышесказанного рассуждать о правовых аспектах логирования - пустой треп. Кто имеет больше денег тот и выиграет. И наличие логов или их отсутствие никак на этот процесс не влияет.
 
Я считаю что логи могут испольоваться следователем только как средство помогающее выйти на след подозреваемого. "БРАТЬ" нада "нагорячем" чтобы уже не изворачиватся пытаясь прилепить какието бумажки с непонятыми цифрами, какимито IP адресами и.т.д....
Юридической силы логи иметь немогут, они немогут быть косвенными доказательствами вины или же наобород невиновности.
Чтобы рассматривать лог как аргумент обвинения нужно пройти большой путь, как с технической стороны так и со стороны закона и права.
Техническую часть можно было бы решить установкой специального сертифицированного сервера логирования, к которому бы не имели рутового доступа даже владельцы организации в которой он установлен, чтобы этот сервер постоянно вел логи и отсылал их сразу в 2 точки - 1 сервер государственной охранной организации. 2 - независимая общественная организация.
Вот когда все 3 лога соойдутся вот тогда уже можно будет говорит о том что они имеют доствоерность... но опятьже все логи идут от кокретных демонов и тут тоже можно закинуть все что угодно.... да и никто небудет заниматся столь дорогостоящими проектами логирования... покарйней мере у нас.
 
logi ne dli dokozatelstv sozdani!!
 
Только логи вряд ли будут определяющим доказательством, помимо логов необходимо еще и другие факты, указывающие на возможность совершения преступления конкретным человеком. Хотя по любому наличие логов, особенно если они грамотно изъяты и должным образом осмотрены являются весьма существенным аргументом в руках следствия.
 
Цитата
Мне кажется что на логи вообще опираться никак нельзя потому что не существует никакой методики определить истинный это лог или сфальсифицированный.

Во-первых, множество следов других типов фальсифицировать тоже можно. И некоторые - даже проще, чем логи. Волосы, следы зубов, ворсинки ткани, пороховой нагар и прочее. Не только можно фальсифицировать, но такие попытки регулярно случаются. Несмотря на это, доказательствами все такие следы признаются. Чем логи хуже?

Во-вторых, фальсификацию логов в ряде случаев можно выявить. И чем больше информации в распоряжении эксперта, тем больше вероятность обнаружения подлога.
 
Цитата
Гость пишет:
Опять таки, не вспомнили наличие сертифицированного ПО, логи которого по определению кондиционны

Да? А откуда такая информаця? Судебная практика или где-то прописано?

Цитата
Гость пишет:
То-то тут раз в пару месяцов появляется очередная статья про пойманного мегахакера, ограбившего родной ВУЗ/банк/офис на 239.07руб путём несанкционированного использования диалапа. И ничего, уголовные приговоры выносят, судимость вешают.. :(

Отчасти для создания прецедента в конкретном регионе. А возможно план раскрываемости по данной статье повесили. А может просто и работы никакой не было - "хакер" сам признался. Чего уж отказываться от галочки...
Luka
 
Для тех кто, пишет, что нельзя определить фальсифицированны логи или нет: читайте статью Собецкого указанную в самом начале данного документа. Там есть ссылка на статью 234 УПК:«при рассмотрении ходатайства об исключении доказательства, заявленного стороной защиты на том основании, что доказательство было получено с нарушением требований настоящего Кодекса, бремя опровержения доводов, представленных стороной защиты, лежит на прокуроре. В остальных случаях бремя доказывания лежит на стороне, заявившей ходатайство.»
Т.е. если логи были сняты "по-правилам", то хацкер должен потом сам доказывать, что они были фальсифицированны.
Читать надо, господа сначала все, а потом, как пишет Собецкий, "делать умозаключения".
 
Цитата
Алексей Лукацкий пишет:
Отчасти для создания прецедента в конкретном регионе. А возможно план раскрываемости по данной статье повесили. А может просто и работы никакой не было - "хакер" сам признался. Чего уж отказываться от галочки...
Или этого мегахакера с потрахами на блюдечке провайдер ментам преподнес.

Цитата
Гыук пишет:
Злоумышленику очень просто отмазаться, достаточно подсадить на свою машину какой-нибудь паленый троянчик с прокси сервером на борту, сделать пару коннектов на проксю с удаленных шеллов чтобы зафиксировать это в логах провайдера (а это уже через другого интернет оператора, дабы не выглядило подозрительно) и все, при напирании следаков играть под дурака и говорить "это не я, это наверное какой-нибудь злобный вирус!".
Ага.. а потом ты на суде, судье будешь это рассказывать, и пытаться впарить про какие то трояны
(судья вспомнит урок истории, и будет удивляться, при чем тут древняя история), а затем выступит эксперт от провайдера, который квалифицировано заявит, что в логах ИП твой, а значит ты и делал нехорошие дела...
В судью взбесишь своими трянами, так еще и реальный срок получишь...
 
Цитата
Алексей Лукацкий пишет:
Отчасти для создания прецедента в конкретном регионе. А возможно план раскрываемости по данной статье повесили. А может просто и работы никакой не было - "хакер" сам признался. Чего уж отказываться от галочки...
Или этого мегахакера с потрахами на блюдечке провайдер ментам преподнес.

Цитата
Гыук пишет:
Злоумышленику очень просто отмазаться, достаточно подсадить на свою машину какой-нибудь паленый троянчик с прокси сервером на борту, сделать пару коннектов на проксю с удаленных шеллов чтобы зафиксировать это в логах провайдера (а это уже через другого интернет оператора, дабы не выглядило подозрительно) и все, при напирании следаков играть под дурака и говорить "это не я, это наверное какой-нибудь злобный вирус!".
Ага.. а потом ты на суде, судье будешь это рассказывать, и пытаться впарить про какие то трояны
(судья вспомнит урок истории, и будет удивляться, при чем тут древняя история), а затем выступит эксперт от провайдера, который квалифицировано заявит, что в логах ИП твой, а значит ты и делал нехорошие дела...
В судью взбесишь своими трянами, так еще и реальный срок получишь...
 
Николай Николаевич, однозначно -- respect!

Вызывает некоторое удивление ссылка в комментариях на "сертифицированные" программы.

Напоминает ( жаль, не помню чьё) выступление по телевизору, в котором на голубом глазу заявлялось, что пиратский виндовс опасен для здоровья...

Очень интересно было бы почитать описание имеющей законную силу процедуры проверки соответствия конкретного данного экземпляра ПО какому-либо сертификату.
 
Допустим, я работаю админом у провайдера, который по своей вине поставил своего работодателя на большие деньги. Теперь мне нужен "козел отпущения". Автор, предположим, является клиентом моего работодателя. Неизменность логов от момента Х до времени Ч изъятия невозможно обеспечить, так как файл, либо БД в которую все собирается изменятся через интервал времени от события до события. Я пишу ручками в журнал события, что Автор сделал такие вот пакости моему работодателю (любой маломальски грамотный админ может это сделать запросто) и удаляю всю свою вину. Далее - БЕГУ к своему работодателю и кричу что его "кинули". В итоге Автора согласно его же статье и заставляют компенсировать ущерб.

Все зависит от судьи. А то получиться тот же бред, что и в Абакане в настоящий момент.
 
Информация по теме
http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf
 
Цитата
Я пишу ручками в журнал события, что Автор сделал такие вот пакости моему работодателю (любой маломальски грамотный админ может это сделать запросто) и удаляю всю свою вину. Далее - БЕГУ к своему работодателю и кричу что его "кинули". В итоге Автора согласно его же статье и заставляют компенсировать ущерб
..а Автор не платит а подает напрова в суд. Приходит следователь и начинает смотреть логи. Видит следующее: логи Автора, вышестоящего прова и целевой системы куда лазил админ совпадают, а правленные админом логи - отличаются. Иск Автора будет удовлетворен, пров начинает искать злодея инсайдера и выходит на Админа. И - все. Уголовное дело, судимость, админом больше никуда не возьмут и все такое прочее. И не надейтесь что судья в логах не разберется, у него десяток экспертов очкариков на подхвате по всем вопросам.
 
это по каким таким логам Вы, уважаемый, следователь на стороне Автора найдет - куда тот лазил? )))
 
Imho, cтатья на правильном пути, а вот, увы, коменты большинства людей которые совсем не в теме.
Единственное, что бы мне хотелось добавить, что журналы регистрации (а не логи) больше дополнение к доказательной базе. Доказательства на злоумышленника надо в первую очередь рыть в системном, ранее опечатанном блоке, с помощью того, что делает например Guidance Software. А журналы будут уже прицепом..
 
Фигню этот котяра говорит взломать можно любой комп/, уж поверь мне!!! 8) нельзя ломануть тока если на компе нет сети или выключитьь его из сетки.....
Страницы: Пред. 1 2 3 След.
Читают тему (гостей: 1)