Компьютерная программа почти всегда совершает низкоуровневые действия с компьютерной информацией без уведомления пользователя и без получения его явного согласия – копирование данных из одного буфера в другой, очистка буфера и т. п. Поскольку закон не различает низкоуровневые и высокоуровневые действия с компьютерной информацией в контексте статьи 273 УК РФ, то различие нужно проводить через использование понятия общественной опасности (часть 1 статьи 14 УК РФ), которое не имеет прямого отношения к определению вредоносной компьютерной программы, но имеет отношение к квалификации деяния, а также через признак заведомой предназначенности.
Вторым основным признаком вредоносной компьютерной программы будет совершение несанкционированных действий заведомо. Т. е. совершение вредоносной компьютерной программой определенного действия должно обоснованно считаться ее автором неочевидным для пользователя, на чьем компьютере эта программа работает. Одновременно совершение вредоносной компьютерной программой такого действия должно быть очевидным для ее автора. Таким образом, совершение компьютерной программой несанкционированных действий с компьютерной информацией в результате ошибки программирования не является достаточным для признания такой программы вредоносной, т. к. совершаемые действия не являются очевидными для ее автора и не охватываются его умыслом. И, с другой стороны, не очевидные для неопытного пользователя действия компьютерной программы, которые, однако, очевидны для опытных пользователей, не могут быть признаны заведомо несанкционированными, поскольку автор компьютерной программы всегда исходит из предположения о достаточной информированности пользователей его программы (в данном случае отсутствие санкции неопытного пользователя на действия компьютерной программы с компьютерной информацией является следствием его низкого уровня квалификации, которая не могла быть разумно учтена автором компьютерной программы, т. е. такое отсутствие санкции заведомо не входило в замысел автора). Следовательно, заведомая несанкционированность действий компьютерной программы выражается не в отсутствии соответствующей санкции пользователя в конкретном случае, а в предполагаемой автором несанкционированности осуществляемых компьютерной программой действий во всех типовых (а не конкретных) случаях, охватываемых его умыслом (по этой же причине при рассмотрении вопроса о вредоносности компьютерной программы необходимо оценивать совершаемые исследуемой программой действия с точки зрения санкции пользователя компьютера, поскольку иные лица, наделенные правом санкционировать действия с компьютерной информацией, в умысел автора вредоносной компьютерной программы никак не входят, т. к. не занимаются непосредственной работой на компьютере, а их право давать санкцию на действия с информацией носит исключительный юридический характер и технически реализуется через другое лицо — пользователя компьютера).
Я как раз приложил все усилия, чтобы понять суть противной мне (не по оценке, а по положению, т. е. в нейтральном смысле этого слова) позиции и вскрыть ее противоречия, по возможности показав схожее регулирование в смежных областях.
надпись о том, что ведётся видео-наблюдение. и без этой записи, есть практика, банком было не хорошо
Корпоративные юристы многое делают для защиты по принципам «как бы чего не вышло» и «лучше перебдеть». Потому что им лучше написать десять раз «чур», чем потом по каждому пункту, даже очевидно законному, оправдываться в суде и доказывать, что не верблюд.
на кот. можно полагаться, т.к. в итоге это может вылезти боком самому же абоненту
Боком может выйти много чего. Ответчик может заявить, что тайна переписки распространяется на доставленное истцу письмо (например, с ответом на претензию или вопрос), которое затем стало письменным доказательством по делу, а потому истец без согласия ответчика и без судебного решения не имел права показывать это письмо кому-либо еще (например, своему юристу или консультанту).
Строго говоря, противная сторона по делу может давить на что угодно, чтобы затянуть дело или исключить какое-либо доказательство из числа допустимых, поэтому важно заранее знать, какие контраргументы приводить и чем их обосновать.
Если отбросить Ваш поток говна про «теоретизацию», «оскорбить профессионала» и прочее, то в остатке имеем следующее.
А кто мешал стороне оспорить?
Никто не мешал. Но вопрос о правомерности записи телефонного разговора и вопрос о том, что на записи голос именно истца/ответчика, – это совершенно разные области. Первый вопрос разрешается судом, второй – экспертизой. Но оба вопроса не взаимосвязаны.
По мнению апелляционной инстанции, запись разговора между истицей и ответчицей была сделана первой без уведомления о фиксации разговора, а потому такая информация получена помимо воли Шишкиной (Белан) Е.С, что недопустимо в силу вышеприведенной нормы закона.
При этом не было учтено, что запись телефонного разговора была произведена одним из лиц, участвовавших в этом разговоре, и касалась обстоятельств, связанных с договорными отношениями между сторонами. В связи с этим запрет на фиксацию такой информации на указанный случай не распространяется.
При таких обстоятельствах апелляционное определение подлежит отмене, а дело — направлению на новое рассмотрение в суд апелляционной инстанции.
Т.е. на данный момент криминалистика допускает модификацию данных на FLASH, т.к. с этим ничего принципиально сделать нельзя?
Да.
и зачем принудительно запускать fstrim, если это гарантировано ведет к модификации данных?
Недочет при адаптации Ubuntu к решению криминалистических задач.
Мне не совсем понятно в этом случае, как учитывается тот факт, что данные априори изменены. [...] Такие улики в итоге считаются легитимными?
К цифровым доказательствам можно предъявлять требования:
1. вытекающие из технических и методических соображений;
2. происходящие из требований законодательства;
3. происходящие из судебной практики (толкования требований законодательства судами).
Если говорить о технической и методической сторонах, то я не вижу ничего плохого в том, чтобы признавать изменения исследуемых данных допустимыми, если эти изменения могут быть идентифицированы и объяснены, при условии, что такие изменения не искажают конкретные данные (файлы и т. п.), имеющие значение для дела. Хотя, с идентификацией и объяснением вносимых изменений есть проблемы…
А требования законодательства и судебная практика различаются в разных странах. В России, например, эксперт может изменять исследуемые объекты с разрешения лица, назначившего судебную экспертизу.
Или когда модификация данных происходит по инициативе контроллера, а не по команде с внешнего интерфейса.
С этим ничего на уровне блокиратора записи сделать нельзя. То же самое относится и к ситуации, когда накопитель возвращает содержимое команды чтения в качестве содержимого сектора, в который еще не производилась запись.
А как все это работает с FLASH памятью, в частности обработка инструкции TIRM?
Пока не видел случаев, когда эта или подобная команда проходит через блокиратор записи. Но видел криминалистические дистрибутивы, в которых для смонтированных файловых систем запускается fstrim (по расписанию).
Первоначальный анализ данных о клиентах Cellebrite показывает, что среди её клиентов могут быть правоохранительные структуры из стран с авторитарными режимами, таких как Россия, ОАЭ и Турция. В частности, в службе технической поддержки Cellebrite обнаружено письмо из прокуратуры РФ.
О закупках комплексов Cellebrite правоохранительными органами РФ писали СМИ и в прошлом году, и даже три года назад; чуть ли не в каждый прошедший год об этом упоминания можно найти, если уметь пользоваться Google. Какие, стало быть, «могут быть»?
Если информация подтвердится, то это даёт возможность предположить, что компания Cellebrite способствовала нарушениям прав человека в этих странах — ради получения прибыли. Эти данные могут быть правдивы. Кстати, у Cellebrite есть даже версия сайта на русском языке.
А еще этому способствовали интернет-провайдеры, которые предоставляли возможность авторитарным режимам скачивать ПО для нарушения прав человека. Для начала писателям следовало бы определить степень вины Cellebrite в нарушении прав человека, в противном случае получается весьма политическое и недалекое суждение, что если правоохранительные органы когда-то нарушили права человека, то они более не могут получать средства для расследования преступлений.
которые только лепят GUIки для опубликованных под свободной лицензией сполитов и продают за бешеные бабки
Сразу видно, что вы слабо представляете, о чем пишете. Почитайте на досуге судебные материалы по иску от Cellebrite к MSAB за копирование эксплоитов для Samsung и Blackberry в продукт XRY.
Начиная с конца XX века в массовой культуре появилось новое значение — «компьютерный взломщик», программист, намеренно обходящий системы компьютерной безопасности
В статье как раз и делается акцент на том, что нужно менять парадигму и не надеяться на то, что, находясь внутри недоверенной среды, можно надёжно защититься от киберпреступников. Это как пытаться вытянуть себя же за волосы из реки.
Нужно менять парадигму и выполнять/подтверждать критически важные операции в доверенной среде, в качестве которой может выступать Trust Scree-устройство.
Тем не менее, в России активно продвигается концепция, что доверенная среда может быть обеспечена модулем доверенной загрузки или операционной системой, запускаемой из неизменяемой памяти. Кое-что даже в проект нового ГОСТ по защите финансовых организаций удалось протащить.
установить и настроить модуль доверенной загрузки и контроля целостности среды
Интересно, сколько еще времени пройдет до того, как специалисты поймут, что модули доверенной загрузки не могут противостоять вредоносным программам в принципе?
Ага, сторона защиты утверждает, что состава преступления по статье 272 УК РФ нет, потому что не было модификации охраняемой законом компьютерной информации:
Как утверждает защита Пивоварова, все они показали, что базы данных МВД не были каким-либо образом модифицированы, и, следовательно, статья 272 использована быть не могла
Судья Игорь Загаров решил иначе, согласившись с доводами прокурора о том, что простая пометка о верности или неверности, сделанная в подписных листах, уже свидетельствовала о копировании данных
(там же)
А в статье 272 УК РФ написано так: «если это деяние повлекло… модификацию либо копирование». Копирование было? Было. Хотя бы на компьютер-клиент для отображения. Или, как решил судья, на бумагу, но не в исходной, а в производной форме.
что если между двумя проверками бинарное содержимое файла не изменилось
Оно должно изменяться всегда. В кусте SYSTEM, например, при каждой загрузке создается ссылка на выбранную конфигурацию в виде непостоянного ключа, информация о котором записывается в постоянный ключ и обновляется на диске. И так происходит со времен Windows NT 3.1.
У кого-то не проверяется правильность сортировки ключей реестра в записях li/lf/lh/ri. Это значит, что список ключей, «видимый» АМДЗ, может отличаться от списка ключей после монтирования куста в Windows (Windows удалит все ключи, нарушающие порядок сортировки). Еще могут не проверяться ссылки на родительские ключи, что может привести к тому, что Windows удалит деревья ключей с неправильными ссылками при подключении куста (а в АМДЗ такие деревья будут считаться корректными). И так далее, список большой.
и даже контролирует журнал транзакций NTFS (это тоже файл)
$LogFile или TxF? Если что-то одно, то не годится :-)
— АМДЗ применительно к СКЗИ это, конечно, бред. но в связке с СЗИ от НСД тот же SecretNet (да, да в котором дыру нашли, и за обновление формуляров которого на патченую версию, разрабы попросили 25% от стоимости) вроде как работает неплохо. т.к. работает драйвер на уровне системы уже и все нюансы ФС должен нормально учитывать…
Перед передачей управления программному СЗИ надо бы проверить целостность этого СЗИ и целостность его конфигурации, что уже создает проблемы.
— по поводу UEFI мне тоже кажется что с его(?) приходом все эти АМДЗ стали очень сильно неактуальны, при этом в банке угроз ФСТЭК угроз с изменение кода BIOS достаточно много и как от этого защищаться (на бумаге есс-но) кроме как установкой АМДЗ не очень ясно.
Тут можно многое написать, но это уже не совсем по теме обсуждения будет :-)
До недавнего времени и я занимался разработкой АПМДЗ (писал как раз OptionROM для UEFI)… И тоже могу с уверенностью сказать, что коллизии контроля целостности возникают из-за выбранных алгоритмов (в интернете достаточно статей про коллизии CRC16/32).
Речь не об ошибках в алгоритмах расчета контрольных сумм в частности и не о стойкости хеш-функций вообще. АМДЗ, в случае с Windows, должен поддерживать NTFS и реестр (это самый минимум). Вот только никто досконально изучать драйвер NTFS и ядро Windows для реализации такой поддержки не будет, а значит могут существовать (и существуют) случаи, когда собственная реализация NTFS и реестра «видит» одни данные, а Windows – другие. Потому что формат данных закрыт и представление о нем было неполным или ошибочным.
Поэтому не стоит нас с вами (видимо обладающих специальными знаниями и опыт в соответствующей области) и описанные Вами способы компрометации АПМДЗ приравнивать к знаниям и возможностям «нарушителя Н2».
Не буду спорить :-) Но тогда встает вопрос об адекватности выбора модели нарушителя.
Ничего не мешает. С другой стороны, функциональности этой программы не всегда может хватать.
Корпоративные юристы многое делают для защиты по принципам «как бы чего не вышло» и «лучше перебдеть». Потому что им лучше написать десять раз «чур», чем потом по каждому пункту, даже очевидно законному, оправдываться в суде и доказывать, что не верблюд.
Боком может выйти много чего. Ответчик может заявить, что тайна переписки распространяется на доставленное истцу письмо (например, с ответом на претензию или вопрос), которое затем стало письменным доказательством по делу, а потому истец без согласия ответчика и без судебного решения не имел права показывать это письмо кому-либо еще (например, своему юристу или консультанту).
Строго говоря, противная сторона по делу может давить на что угодно, чтобы затянуть дело или исключить какое-либо доказательство из числа допустимых, поэтому важно заранее знать, какие контраргументы приводить и чем их обосновать.
Никто не мешал. Но вопрос о правомерности записи телефонного разговора и вопрос о том, что на записи голос именно истца/ответчика, – это совершенно разные области. Первый вопрос разрешается судом, второй – экспертизой. Но оба вопроса не взаимосвязаны.
С уважением, практик.
Рад, что Вы сели в лужу :-)
Да.
Недочет при адаптации Ubuntu к решению криминалистических задач.
К цифровым доказательствам можно предъявлять требования:
1. вытекающие из технических и методических соображений;
2. происходящие из требований законодательства;
3. происходящие из судебной практики (толкования требований законодательства судами).
Если говорить о технической и методической сторонах, то я не вижу ничего плохого в том, чтобы признавать изменения исследуемых данных допустимыми, если эти изменения могут быть идентифицированы и объяснены, при условии, что такие изменения не искажают конкретные данные (файлы и т. п.), имеющие значение для дела. Хотя, с идентификацией и объяснением вносимых изменений есть проблемы…
А требования законодательства и судебная практика различаются в разных странах. В России, например, эксперт может изменять исследуемые объекты с разрешения лица, назначившего судебную экспертизу.
С этим ничего на уровне блокиратора записи сделать нельзя. То же самое относится и к ситуации, когда накопитель возвращает содержимое команды чтения в качестве содержимого сектора, в который еще не производилась запись.
Пока не видел случаев, когда эта или подобная команда проходит через блокиратор записи. Но видел криминалистические дистрибутивы, в которых для смонтированных файловых систем запускается fstrim (по расписанию).
Fixed.
О закупках комплексов Cellebrite правоохранительными органами РФ писали СМИ и в прошлом году, и даже три года назад; чуть ли не в каждый прошедший год об этом упоминания можно найти, если уметь пользоваться Google. Какие, стало быть, «могут быть»?
А еще этому способствовали интернет-провайдеры, которые предоставляли возможность авторитарным режимам скачивать ПО для нарушения прав человека. Для начала писателям следовало бы определить степень вины Cellebrite в нарушении прав человека, в противном случае получается весьма политическое и недалекое суждение, что если правоохранительные органы когда-то нарушили права человека, то они более не могут получать средства для расследования преступлений.
Сразу видно, что вы слабо представляете, о чем пишете. Почитайте на досуге судебные материалы по иску от Cellebrite к MSAB за копирование эксплоитов для Samsung и Blackberry в продукт XRY.
Тем не менее, в России активно продвигается концепция, что доверенная среда может быть обеспечена модулем доверенной загрузки или операционной системой, запускаемой из неизменяемой памяти. Кое-что даже в проект нового ГОСТ по защите финансовых организаций удалось протащить.
Интересно, сколько еще времени пройдет до того, как специалисты поймут, что модули доверенной загрузки не могут противостоять вредоносным программам в принципе?
(источник)
Но вменяют ведь копирование:
(там же)
А в статье 272 УК РФ написано так: «если это деяние повлекло… модификацию либо копирование». Копирование было? Было. Хотя бы на компьютер-клиент для отображения. Или, как решил судья, на бумагу, но не в исходной, а в производной форме.
Оно должно изменяться всегда. В кусте SYSTEM, например, при каждой загрузке создается ссылка на выбранную конфигурацию в виде непостоянного ключа, информация о котором записывается в постоянный ключ и обновляется на диске. И так происходит со времен Windows NT 3.1.
У кого-то не проверяется правильность сортировки ключей реестра в записях li/lf/lh/ri. Это значит, что список ключей, «видимый» АМДЗ, может отличаться от списка ключей после монтирования куста в Windows (Windows удалит все ключи, нарушающие порядок сортировки). Еще могут не проверяться ссылки на родительские ключи, что может привести к тому, что Windows удалит деревья ключей с неправильными ссылками при подключении куста (а в АМДЗ такие деревья будут считаться корректными). И так далее, список большой.
$LogFile или TxF? Если что-то одно, то не годится :-)
Перед передачей управления программному СЗИ надо бы проверить целостность этого СЗИ и целостность его конфигурации, что уже создает проблемы.
Тут можно многое написать, но это уже не совсем по теме обсуждения будет :-)
Речь не об ошибках в алгоритмах расчета контрольных сумм в частности и не о стойкости хеш-функций вообще. АМДЗ, в случае с Windows, должен поддерживать NTFS и реестр (это самый минимум). Вот только никто досконально изучать драйвер NTFS и ядро Windows для реализации такой поддержки не будет, а значит могут существовать (и существуют) случаи, когда собственная реализация NTFS и реестра «видит» одни данные, а Windows – другие. Потому что формат данных закрыт и представление о нем было неполным или ошибочным.
Не буду спорить :-) Но тогда встает вопрос об адекватности выбора модели нарушителя.