Доказательная база при расследовании преступлений в сфере высоких технологий
Дисклаймер: смело ругайте меня за терминологию. Да и вообще, буду рад услышать комментарии. Написано по итогам дискуссии в журнале ![[info]](http://l-stat.livejournal.com/img/userinfo.gif)
arkanoid.
Допустим, совершено преступление, где в качестве улики выступает содержимое жесткого диска компьютера (персонального, серверного, или, даже, дисковой системы). В случае, если обвинение строится на основе данных, полученных с этого компьютера в ходе расследования, защите достаточно показать, что в ходе снятия данных они могли быть изменены или повреждены. Обвинение же обязано докать, что эти данные гарантировано соответствуют оригиналу.
Как обвинение могло бы это сделать? Необходимо показать, что данные, использовавшиеся при анализе, точно соответствуют содержимому жесткого диска в момент его изъятия. Обычно компьютер опечатывают (или должны, во всяком случае), но это не гарантирует целостности и неизменности данных да диске. Гарантировать неизменность данных можно было бы путем снятия с них в момент изъятия контрольной суммы и последующей ее проверки после совершения каждого действия с данными (или их копией, если копия идентична оригиналу). Контрольную сумму, позволяющую проверить целостность и неизменность данных можно получить с помощью алгоритма хеширования. Сертифицированый алгоритм хеширования у нас есть - это ГОСТ Р34.11. Это хорошо.
Однако, ясно, что реализация алгоритма снятия контрольной суммы должна быть тоже сертифицирована - во-первых, нужно убедится, что она правильно считает хеш, во-вторых, нужно проверить, что при подсчете хеша, она (например, из-за ошибки программиста) не вносит изменений в оригинал данных. Итого - нужно сертифицировать на соответствие заявленым техническим условиям и на отсутствие недокументированых возможностей. Сертифицирован должен быть аппаратно-программный комплекс. Те, кто сталкивался с digital forenscic discovery, уже поняли, что в результате должен получиться эдакий EnCase Forensic, только с ГОСТом, сертифицированый, пронумерованый, прошнурованый и опечатаный.
Если данные снимались хоть чем-то, непохожим на описанное устройство, существует вероятность, что ПО, с помощью которого снимались данные, внесло изменения в оригинал, неправильно выполнило копирование или неверно отобразило содержимое. Я уверен, что никакой привлеченый эксперт не гарантирует 100% правильную работу ПО во всех случаях и на всех наборах входных данных. Да и вообще, в лицензиях ОС общего назначения (которые обычно используются при расследовании) написано, что их создатели ни за что не отвечают.
Процедура снятия контрольной суммы тоже нетривиальна. Видимо, сотрудники правоохранительных органов должны в присутствии понятых разобрать компьютер подозреваемого, достать жесткий диск и подключить его к платформе снятия контрольной суммы. После чего из этого пронумерованного, прошнурованного и опечатанного ящика должна вылезти распечатка с контрольной суммой, под которой подпишутся понятые. Если опечатанность и пронумерованость ящика является гарантией того, что это - правильный, провереный ящик для снятия контрольной суммы, подкопаться будет тяжело. В любом другом случае - опять можно придраться к процедуре.
Осталось добавить, что я не слышал о существовании EnCase-подобных сертифицированых систем в России. Итого, достоверность любых улик на основе содержимого изъятых жестких дисков, оперативной памяти и прочего, может быть оспорена в суде.
![[info]](http://l-stat.livejournal.com/img/community.gif){kind=small}
securityblogru,
