Сообщений в теме: 101

[LEOPOLD]

Если я правильно все нашел, то заголовок имеет такой вид:

Received: from [195.239.101.125] by win.mail.ru with HTTP;
Fri, 22 Aug 2003 07:05:03 +0400
From: =?koi8-r?Q?=22=E4=CD=C9=D4=D2=C9=CA=22=20?=<xxx@mail.ru>
To: zzz@mail.ru
Disposition-Notification-To:
=?koi8-r?Q?=22=E4=CD=C9=D4=D2=C9=CA=22=20?=<xxx@mail.ru>
Subject:
=?koi8-r?Q?=F7=CC=C1=C4=CC=C5=CE=D5=20=E2=CF=D2=C9=D3=CF=D7=C9=DE=D5=
20=CF=D4=20=EE=C5=C6=C5=C4=CF=D7=C1=20=D0=D2=CF=20=D0=C5=D2=C5=D5=D3=D
4=D5=D0=CB=D5?=
Mime-Version: 1.0
X-Mailer: mPOP Web-Mail 2.19
X-Originating-IP: [195.239.101.125]
Date: Fri, 22 Aug 2003 07:05:03 +0400
Reply-To:
=?koi8-r?Q?=22=E4=CD=C9=D4=D2=C9=CA=22=20?=<xxx@mail.ru>
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit

[PRAETORIAN]

ЗлобневыйКарлик

Вот и выработаем ту методику, защитим по ней диссер, и напьёмся  .

Я не против, помню как бодался по поводу достоврености аудиозаписей с регистратора "О2" (такая здоровенная бандурина в полэтажа), которую на экспертизу не притащишь, да и с прослушкой были вопросы (тоже пишут на реистратор), но там всё было проще, так как аппартура установлена в заведениях, не требующих доп. проверок и есть какие-то методики ЭКЦ МВД по определению принадлежности цифрового аудио. А вот как в таком виде, чтобы "пощупать", представить (и подтвердить подлинность и принадлежность) электронной информации как таковой для меня вопрос не совсем ясен.

З.Ы. По каким-то методикам в Питере ловили же хакеров и осуждали .

Ну если это из серии "суд сам делал практику и проскочило", то это не особо объективно - до первого серьезного спора с участием специалистов.

[ЗлобневыйКарлик]

Итак время направления сообщения 22 Aug 2003 07:05:03 +0400 (летнее московское)
IP адрес отправителя письма 195.239.101.125 (диалап доступ)

Вот инфа, которая получается при запросе хозяина адреса 195.239.101.125

inetnum:      195.239.101.0 - 195.239.101.255
netname:      STNET3-101
descr:        Golden Telecom
descr:        Novosibirsk
descr:        Dialup
country:      RU
admin-c:      TELE1-RIPE
tech-c:      TELE1-RIPE
status:      ASSIGNED PA
notify:      noc@sovam.com
mnt-by:      AS3216-MNT
remarks:      Please send abuse notifications to abuse@rol.ru
changed:      kisel@rol.ru 20040121
source:      RIPE

route:        195.239.100.0/23
descr:        Golden Telecom
descr:        Novosibirsk specific
origin:      AS3216
remarks:      region-id=Novosibirsk
notify:      noc@gldn.net
mnt-by:      AS3216-MNT
changed:      iga@sovam.com 20050420
source:      RIPE

role:        Teleross NOC
address:      Krasnokazarmennaja, 12
address:      Moscow, Russia
phone:        +7 095 7871001
fax-no:      +7 095 7871010
e-mail:      noc@sovam.com
notify:      noc@sovam.com
admin-c:      IS13
tech-c:      IS13
tech-c:      DBF3-RIPE
tech-c:      MAK18-RIPE
nic-hdl:      TELE1-RIPE
mnt-by:      AS3216-MNT
remarks:      formely Sovam Teleport NOC
changed:      konor@sovam.com 20030122
source:      RIPE

это список российских организаций, которые имеют отношение к этому адресу. Соответственно, письмо было послано из сети, закреплённой за Новосибирским ф-лом Голдентелекома. Этот адрес ему (Голдентелекому) выдал Teleross NOC ака Совам телепорт ака Московский Голдентелеком (т.е. их же головная контора). Адреса-пароли-явки все видны. Дальше делаем запрос по статистике своему провайдеру (Новосибирскому Голдентелекому) и ищем в указанное время обращение к серверу win.mail.ru Если они будут говорить что таких данных у них нет - это неправда, поскольку эти данные использоваться для начисления платы за услуги, и должны храниться как первичка, т.е. определенно долго. Если их всё таки нет - то необходимо обратиться к лицензирующему органу, выдавшему им лицензию на телематику (ибо странно это). К тому же, вполне может быть на их сетях уже СОРМ заработала, следовательно и там кое-какую инфу можно нарыть.

Дальше смотрим, что за зверь win.mail.ru и кто разместил этот домен.

domain:    MAIL.RU
type:      CORPORATE
nserver:    ns.mail.ru. 194.67.23.130
nserver:    ns1.mail.ru. 194.67.57.103
nserver:    ns2.mail.ru. 194.67.57.104
nserver:    ns3.mail.ru. 194.67.23.17
nserver:    ns4.mail.ru. 194.67.57.4
nserver:    ns5.mail.ru. 194.67.23.232
state:      REGISTERED, DELEGATED
org:        netBridge Limited
phone:      +7 095 7256357
fax-no:    +7 095 7256359
e-mail:    domain@corp.mail.ru
e-mail:    gabrelyan@corp.mail.ru
registrar:  RUCENTER-REG-RIPN
created:    1997.09.27
paid-till:  2005.10.01
source:    TC-RIPN

Прочитывая записи доменных имён по домену MAIL.RU выясняем, что имя win.mail.ru соответствует IP адресу 194.67.57.50
Смотрим, кто этот адрес выдал.

inetnum:      194.67.57.0 - 194.67.57.255
netname:      MAILRU-NET2
descr:        Mail.ru
descr:        Moscow, Russia
country:      RU
admin-c:      VG659-RIPE
tech-c:      VG659-RIPE
status:      ASSIGNED PA
notify:      noc@sovam.com
mnt-by:      AS3216-MNT
changed:      iga@sovam.com 20040609
source:      RIPE

route:        194.67.0.0/18
descr:        SOVAM DELEGATED BLOCK-1
origin:      AS3216
notify:      iptech@sovam.com
mnt-by:      AS3216-MNT
changed:      iga@sovam.com 19960708
source:      RIPE

person:      Vladimir Gabrelyan
address:      2/6, Pushechaya str., Moscow, Russia
e-mail:      gabrelyan@corp.mail.ru
fax-no:      +7 095 7256357
phone:        +7 095 7256357
nic-hdl:      VG659-RIPE
changed:      gabrelyan@corp.mail.ru 20040608
source:      RIPE

Все данные взяты у:
Автономная некоммерческая организация "Региональный Сетевой Информационный Центр"
(RU-CENTER) по адресу https://www.nic.ru/whois/

Она как раз и может предоставить справки об адресах и доменных именак. Тем более, как клиент этой организации могу сказать, что журнализация доступа к данным о доменах у них более чем прекрасная.

А теперь вопрос - кому здесь что непонятно? (С) один судья Тульского арбитражного суда.

Каким образом оформить запросы или следственные действия PRAETORIAN подскажет, его ж за язык не тянули

[PRAETORIAN]

ЗлобневыйКарлик

Не тянули, но
Если Вы мне покажете хоть пару судей, владеющих навыками обращения с ПК чуть выше чем с печатной машинкой, которые смогут приведенные выше данные верно оценить в приговоре, при том, что всё же никакой персонализированной информации о лицах (ведь адреса, IP и т.п. - суть псевдонимы) они не содержат и являютсялишь отправной точкой, но не результатом доказывания, то...

Наше уголовно-процессуальное законодательство на высокие технологии не ориентировано (про идиотское требование подчерикивать текст в бланках я и не говорю), поэтому и возникают такие проблемы.

Думаю, что при условии отсутствия серьезных навыков у суда в области этих самых технологий, "запудрить" мозги можно с любой стороны.

Но тема интересная

[ЗлобневыйКарлик]

Того... я ж не говорю, что судье надо в неудобоваримом формате представлять данные. Эдак мы дойдём до того, что судьи в машинном коде писать программы начнут. Однако другие, м.б. не особо высоко, но всё же технологичные процессы идут, доказательства добываются, приговоры выносятся.
Понятно, что если в изначальном виде представить судье заголовок электронного письма в качестве доказательства по принципу "на, жри скотина", то скорее всего она эту "бисову грамоту" и отодвинет как недопустимую. У нас же задача - сделать так, чтобы суд не смог не обратить внимание на те фактические данные, которые имеются. И сделать это надо в рамках УПК.

(ведь адреса, IP и т.п. - суть псевдонимы) они не содержат и являютсялишь отправной точкой, но не результатом доказывания, то...

За эти IP адреса и домены (точнее за время их использования) платится денюжка. Если этот адрес зарегистрирован не на Патриса Лумумбу в стране Гондурасии, то некую информацию из них можно выжать. В нашем случае всё вполне определённо.

Действительно, это всего лишь отправная точка. Некие данные, которые будут оценены с точки зрения относимости и допустимости.
В данном случае, у нас владелец почтового ящика не такой уж и псевдоним, это может подтвердить провайдер и держатель сайта mail.ru, как и то, что сеанс под таким адресом был начат с городского телефона в Новосибирске. Все организации в этой цепочке к уголовному делу отношения не имеют, в исходе дела не заинтересованы, следовательно не имеется оснований им не доверять.
Корреспонденция, она двухсторонняя как правило бывает. Следовательно есть письма, которые получены с другой стороны. Этот материал тоже подлежит оценке в совокупности с другими собранными по делу доказательствами.

Так может всё же перейдём на конкретику и начнём строить схему легализации доказательств ? Насколько я читал УПК - это возможно сделать. Или всё же есть препятствия? Тогда какие?

[PRAETORIAN]

ЗлобневыйКарлик

Или всё же есть препятствия? Тогда какие?

ИМХО, с чего и начинал - отсутствие четкого порядка изъятия (получения)такойинформации. Понятно, что и детализации выемками оформляют, но там хоть можно четко установить принадлежностьтелефона конкретному лицу (или факт пользования) с помощью дополнительных доказательств. В рассматриваемом же случае показания, например, Пети о том, что Вася сидел за компом с учетной записью как в распечтаках выше - аргумент слабый. Вывод: персонализация лица - туманная.
Опять же вопрос: кто и как сможет провести экспертизу подлинности информации, если она существует в реальном времени и в виртуальном, но не материальном, виде. нельзя же провести экспертизу только на основании этих свдений, так как их может никто и оспаривать не будет, но вот кто скажет, что Вася - это Вася.
Хотя можно и лингвинистико-орфграфическую экспертизу письма провести на предмет принадлежности авторства Васе, но % достоверности ее выводов еще ниже.

Я это всё не из вредности, понятно, что где-то и просто распечатка может проскочить, я - с т.з. аргументированности при достаточной квалификации сторон.

ИМХО, будучи в противоположном лагере, я б попытался такие доказательства если уж не "убрать", то под соменение поставить. Я не беру такой расклад, когда других прямых или косвенных доказательств "выше крыши", беру вариант их отсутствия...

[Эстарриол]

Вот тут СОРМ помянули... Это ж ОРД. Вопрос о допустимости данных ОРД в уголовном процессе по-прежнему актуален.

Я вот вижу единственным вариантом экспертизу. То есть эксперт СРАЗУ ЖЕ упаковывает и везёт к себе, где даёт заключение. А если где-нибудь следственный состав получит хоть минутку доступа к компьютеру в отсутствие понятых -- грамотный защитник (хотя не видал я таких чтобы на тонкостях процессуального доказывания работали) отметёт их, дескать, успели поиск\замену сделать...

Да и с экспертизой не всё гладко. Эксперт, по идее, единственный участник уголовного судопроизводства, который может производить доказательства самостоятельно, без посредства следователя. Но и ему вменяется в запрет самостоятельное собирание доказательств (п.2 ч.4. ст.57 УПК). Разве что следователь сам все вышеуказанные справки соберёт, во что не верится...

Более того, после этого самого акта экспертизы повторная экспертиза уже напрочь теряет смысл.

[LEOPOLD]

PRAETORIAN
Может быть мы слишком глубоко копаем...
ПОДОЗРЕВАЕМОМУ по делу достаточно доказать сам факт отправления письма на эл.адрес ПОТЕРПЕВШЕГО и его содержание. Получил ли потерпевший данное письмо... желательно знать. А вот читал ли он его и отвечал ли на него, вообще не нужно - пусть хоть сразу в корзину выбрасывает. Эл. адреса сторон установлены. Суть - доказать отсутствие действий направленных на сокрытие истинных обстоятельств, отсутствие обмана и злоупотребления доверием. Ну развиваются технологии, ну многие уже всю преддоговорную переписку ведут по электронной почте и согласовывают проекты договоров...

[ЗлобневыйКарлик]

PRAETORIAN

Понятно, что и детализации выемками оформляют

В рассматриваемом случае тоже можно оформить выемкой. Только выемка журнала соединений должна производиться не только у владельца узла доступа (того номера на который звонил модем при входе в инет), но и у телефонной компании, которая предоставила доступ к городской телефонной сети и обслуживает того абонента, который звонил. Затем путём сравнения этих журналов мы можем получить (а можем и не получить) информацию о владельце телефонного номера.

но там хоть можно четко установить принадлежностьтелефона конкретному лицу

Да тоже не факт. Никогда не видели как на лестничной клетке в распределительном шите кабеля организованы? А в шкаф на улице при желании доступ можно получить?

Эстарриол
В данном случае СОРМ рассматривается не как орудие уголовного преследования, а как независимый источник информации, который может либо подтвердить, либо опровергнуть журналы провайдеров и телефонной компании.

[The Guest]

ЗлобневыйКарлик

но там хоть можно четко установить принадлежностьтелефона конкретному лицу

Да тоже не факт. Никогда не видели как на лестничной клетке в распределительном шите кабеля организованы? А в шкаф на улице при желании доступ можно получить?

В том и дело. Какой смысл тогда в исследовании файлов провайдера, если в итоге мы приходим только к косвенным доказательствам?
Опять же не берём в расчёт редкие случаи их надёжного подкрепления другими доказательствами и вдобавок учитываем простоту не поддающейся установлению подделки цифровых данных.
Что в сухом остатке?

[ЗлобневыйКарлик]

Что в сухом остатке?

А вы бы хотели резолютивку приговора там увидеть?

[The Guest]

ЗлобневыйКарлик

А вы бы хотели резолютивку приговора там увидеть?

Хотя бы мотивировку.

[ЗлобневыйКарлик]

Насколько я понимаю, для начала неплохо было бы создать такие условия, чтобы у суда возникла необходимость искать некие контраргументы для опровержения этих доказательств, а не просто выплёвывать их, не переварив.

[The Guest]

Насколько я понимаю, для начала неплохо было бы создать такие условия, чтобы у суда возникла необходимость искать некие контраргументы для опровержения этих доказательств, а не просто выплёвывать их, не переварив.

Спору нет.
Только я предлагаю вопрос иначе поставить. О косвенности таких доказательств мы, кажется, договорились. Поэтому имеет смысл обсудить пределы их использования. В частности:
1. Что именно эти доказательства доказывают (прямо, а не косвенно).
2. Какие полагания (в т. ч. неявные) позволяют эти данные связать с конкретным лицом.
3. Как можно доказать, что указанные полагания соответствуют действительности.
4. Что и почему не удастся доказать в принципе.
5. Какие разумные презумпции могут помочь в такой ситуации (принципиальной недоказуемости).
6. Какие ситуации даже с учётом презумпций, которые будет готов принять суд, остаются недоказуемыми?

Понимаю, что анализ в таком ключе тянет на диссертацию, но иначе вместо предметного обсуждения будет трёп ни о чём.

[PRAETORIAN]

The Guest

Понимаю, что анализ в таком ключе тянет на диссертацию

К этому всё практически стремилось изначально
Тема действительно интересная, я б с такой в суде пободался. Помнится по помянутым мною выше цифровым аудиозаписям с милицейских регистраторов бодался с защитой недели две - допросили пол ЭКЦ МВД, других спецов, изучили кучу литературы, отслушали раз по пять записи. Убедил, что "могёт" (с другими доказательствами 210 был напряг).

[Findirector]

и ищем в указанное время обращение к серверу win.mail.ru

А системное время указывается провайдера или то которое на компьютере произвольно можно изменять?

Вообще кто-нибудь сможет представить понятный суду алгоритм программы, которая формирует все эти заголовки, доменные имена и адреса? То-то. А на любую экспертизу всегда можно сделать десять противоречащих ей экспертиз.

Далее. Разве никто из вас никогда не слышал про анонимные прокси-сервера, которые расположены в мятежном Талибане и владельцы которых международные следственные поручения почему-то не выполняют?

Смотрел как-то давно передачу и читал книгу про то как американцы хакеров щемят. Так там сотрудники Secret Service, которые кстати и президента ихнего стерегут, обязательно изымают у хакера комп со следами (логами) доступа. Сами эти сотрудники - чуть ли не профессора по программированию.

А если не известно где хакерский комп искать и если он в инет заходит с анонимного мобильного номера - дубина вы его когда найдете.

Сообщение отредактировал Findirector: 09 June 2005 - 00:15

[PRAETORIAN]

Findirector

Вообще кто-нибудь сможет представить понятный суду алгоритм программы, которая формирeует всех эти заголовки, доменные имена и адреса? То-то. А на любую экспертизу всегда можно сделать десять противоречащих ей экспертиз.

Собственно, с этого и начинали и это обсуждается...

про то как американцы хакеров щемят. Так там сотрудники Secret Service, которые кстати и президента ихнего стерегут, обязательно изымают у хакера комп со следами (логами) доступа. А если не известно где это комп искать и если он в инет заходит с анонимного мобильного номера - дубина вы его когда найдете.

Этот самый мы и не ищем. Обсуждается лишь возможность доказывания.

ЗЫ: Если свой потеряли - Ваши проблемы, а самоутверждаться можно и по другому...

[ЗлобневыйКарлик]

Findirector

А системное время указывается провайдера или то которое на компьютере произвольно можно изменять?

Как правило, в глобальной сети время на серверах синхронизируется с внешними эталонными источниками по протоколу NTP. Это можно установить в том числе и опросом специалистов провайдера. Тем более, что злодей не может повлиять на отметку штампа времени в заголовке письма.

Вообще кто-нибудь сможет представить понятный суду алгоритм программы, которая формирует все эти заголовки, доменные имена и адреса?

Да, и однозначно, только это не алгоритм, а набор международных стандартов, которые определяют протоколы обмена POP, SMTP, IMAP и конкретных их версий.

Далее. Разве никто из вас никогда не слышал про анонимные прокси-сервера

Конечно слышали, умные злодеи так и делают. Если бы в заголовках письма обнаружился SOCKS прокси - пришлось бы обращаться к мятежникам из Талибана, и скорее всего всё, "сливай вода". Однако, в нашем примере его там нет, следовательно есть возможность установить что-то достоверно.

[ЗлобневыйКарлик]

The Guest

1. Что именно эти доказательства доказывают (прямо, а не косвенно).

Зависит от исходных данных, достоверность которых надо проверять в различных независимых источниках.


IP адрес, с которого получено письмо

Received: from [195.239.101.125]

Доменное имя почтового сервера

by win.mail.ru with HTTP;

Время получения сервером

Fri, 22 Aug 2003 07:05:03 +0400

Программное обеспечение, использованное для формирования сообщения и его версия (необходимо исследовать на предмет соответствия исследуемого заголовка письма и заголовка, формируемого этой программой, как правило, они различаются в зависимости от программы). Если при исследовании содержимого компа злодея обнаружиться именно эта программа с настройками на именно эту учетную запись электронной почты, то можно с большой долей уверенности говорить о том, что владелец компа причастен к отправке этой корреспонденции.

X-Mailer: mPOP Web-Mail 2.19

Тип содержания письма, параметры его кодировки

Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit

Это только исходные данные для создания цепи доказательств, да и то не все. Например, в приведённом мною заголовке письма, автор намеренно искажает свой адрес электронной почты, с целью обезличить отправителя, что может говорить о понимании им неправомерности своих действий по рассылке спама, которые в итоге наносят ущерб получателям этой корреспонденции в виде стоимости входящего трафика. В итоге его деятельности совокупный нанесенный ущерб может быть очень значителен.

[Findirector]

А про выход в инет с анонимного мобильника может кто-нить откомментировать?

[ЗлобневыйКарлик]

Лев, а что тут комментировать? Если злодея именно с этим мобильником прихватят, то ему уже возможно "сливай вода" будет. Плюс, не забывай, что он хоть и анонимный, но IMEI у него есть и на ретрансляторах регистрируется, а это уже какая-никакая привязка к времени и месту. СОРМ у операторов связи по закону должен быть, а зачастую не только есть, но ещё и функционирует исправно.

[LEOPOLD]

ЗлобневыйКарлик

Программное обеспечение, использованное для формирования сообщения и его версия (необходимо исследовать на предмет соответствия исследуемого заголовка письма и заголовка, формируемого этой программой, как правило, они различаются в зависимости от программы). Если при исследовании содержимого компа злодея обнаружиться именно эта программа с настройками на именно эту учетную запись электронной почты, то можно с большой долей уверенности говорить о том, что владелец компа причастен к отправке этой корреспонденции.

Письма отправлялись через сайт @mail.ru, без использования (кроме IE) дополнительного програмного обеспечения, именно поэтому они сохранились в папке "отправленные" на сайте @mail.ru, а не в папке "отправленные" на локальном компе "злодея". Это наверное тоже чего то стоит. Думаю невозможно положить в папку отправленные на сайт @mail.ru письмо каким либо иным образом как не отправив его с самого сайта. Так же думаю невозможно подделать адреса отправителя и получателя и время отправки, так как все проставляется автоматически и не с локального компьютера пользователя а сервером. Напомню, что в данном примере "злодей" указывает на отправку писем и пытается это подтвердить.

[Sir Michael]

LEOPOLD
mPOP Web-Mail 2.19 это mail.ru }80)

интересная тема }80)

[ЗлобневыйКарлик]

mPOP Web-Mail 2.19 это mail.ru

Точнее, это сведения о программном обеспечении и его версии, которое обслуживало процесс обмена.

LEOPOLD
В Вашем случае, злодея можно привязать к почтовому ящику очень просто. Пароль знает только он, и (может быть) администрация mail.ru

Не знаю, как насчёт тактики, пусть меня поправят если неправ, но следователю надо заявить, что данные, которые могут подтвердить отсутствие в его действиях состава, находятся на удалённом компьютере, и что в ходе следственных действий он готов их продемонстрировать. Если впоследствии подтвердится тот факт, что отправка писем производилась с IP адреса, который был выдан при входе в инет по паролю и логину "злодея" то какие основания не доверять его показаниям?
Добавлено @ 15:42

Думаю невозможно положить в папку отправленные

Надо не думать, надо знать. Разработчик или владелец ПО вполне могут знать и подтвердить.