информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetПортрет посетителяSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Утекший код XP и Windows Server... 
 Дела виртуальные 
 Простое пробивание рабочего/провайдерского... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Во-во... Я не верю, что провы логгируют сами данные. Это ж терабайты, блин! 24.11.04 15:12  Число просмотров: 3669
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 24.11.04 15:14  Количество правок: 1
<"чистая" ссылка>
> Что будет анализировать эксперт - то, что ему
> предоставили? Сможет ли эксперт утверждать по логам, что
> контора А именно "сломала" контору В? Что будет в логе -
> два АйПи адреса, время, объем данных (если пров это ведет)?
> Само содержание трафика там будет? То, что передано
> эксперту, может быть уже искажено? Как пров. докажет, что
> именно в это время, именно с этого адреса, именно эти
> деяния делели именно сотрудники конторы А?

Subj. Типичные поля лога типичного прова такие:

ID: (Счетчик);
ProtocolType, ClientIP, RemoteIP, LocalPort, RemotePort: (Числовой);
StartTime, EndTime: (Дата/время);
Direction: (Логический);
InBytes, OutBytes: (Числовой);
Blocked: (Логический).

Вот и всё... Анализируйте, уважаемые эксперты, на здоровье ;-)
<law>
272 УК 22.11.04 16:18  
Автор: MAXV Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Доброго времени суток! Вопрос такой! Прихватили по статье 272 за халявный инет который юзал годо полтора назад! пришли забрали комп (в нем то ничего нет т.к за 1.5 года все по переустанавливал) единственнно что у них есть это лог прова с номером моего телефона и сеансами выходов) . Помогите равалить дело т.е привести хорошие аргументы что лог прова это не доказательная база! Заранее благодарен!!! Дело весит уже год!!!!
А ты дома был? 29.11.04 12:40  
Автор: Snow Статус: Незарегистрированный пользователь
<"чистая" ссылка>
0. Не стОит расчитывать на то, что ведение логов провайдера не оформлено надлежащим образом. Ведение учёта доступа у них ведётся с учётом требований СОРМ, и их невыполнение ведёт за собой автоматический отзыв лицензии.

1. Найти свидетелей, которые покажут, что во время совершения правонарушения тебя не было дома (был в другом месте).
2. В крайнем случае - найти свидетелей того, что во время совершения правонарушения за компьютером сидели малолетние дети (до 14 лет).
Наши "провайдеры" не знают что такое СОРМ. 29.11.04 15:54  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> 0. Не стОит расчитывать на то, что ведение логов провайдера
> не оформлено надлежащим образом. Ведение учёта доступа у
> них ведётся с учётом требований СОРМ, и их невыполнение
> ведёт за собой автоматический отзыв лицензии.

Наши "провайдеры" не знают что такое СОРМ.
Они являются провайдерами, потому что наш интернет-кабель тянется к ним. В ковычках - потому что они такие же провайдеры, как и моя работа для меня.
Логи они, может, и ведут, но только для своего интереса.
Они нам дают интернет, мы им даем деньги. Остальное нас и их не трогает.
Ни я ни мои соседи - тоже 30.11.04 03:53  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Мои соседи - 2 ведущих прова полумиллионного города. Я админ академического центра. Что до меня - я бы предпочел знать: сетка-то ведомственная и половина институтов работают на оборонку.
Провайдер о СОРМ знать обязан - внедрение СОРМ это... 07.04.05 21:27  
Автор: Kuzmich Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Мои соседи - 2 ведущих прова полумиллионного города. Я
> админ академического центра. Что до меня - я бы предпочел
> знать: сетка-то ведомственная и половина институтов
> работают на оборонку.

Провайдер о СОРМ знать обязан - внедрение СОРМ это требование, которого он теоретически не может избежать: запрещена эксплуатация узлов связи, не сданных в госсвязьнадзор, а одним из требований к сдаче как раз и является обеспечение комплекса мер по СОРМ.

Другое дело, что на практике СОРМ'щикам особо не охота возиться с мелкими провайдерами (из трафик всё-равно СОРМ'ится на их аплинках), поэтому практикуется обмен письмами - "от оператора связи ХХХ в отеление УУУ Н-ского района: давайте создадим рабочую группу по внедрению СОРМ на нашем узле связи?" - "Давайте. С нашей стороны в группе будет Петя и Вася" - "ОК. Тогда с нашей - секретарша Оленька. А можно нам пока без СОРМ'а поработать, пока рабочая группа думает?" - "Да хрен с вами, работайте.". На этом обычно всё и заканчивается - ГСНу хватает этого письма для выдачи разрешения на эксплуатацию, а рабочая группа изредка делает видимость работы. Через некоторое время (где-то ко второму КЛД (контроль лицензируемой деятельности)) провайдеру все-таки приходится заплатить в ФСБ 10 штук зеленых за компьютер, настроенный в качестве бриджа с ВОЗМОЖНОСТЬЮ включения записи пакетов по определенным фильтрам... Так это было как минимум до 1 января 2004 года. Сейчас, всвязи с затянувшейся реструктуризацией минсвязи, с новым "Законом о связи", для котрого никак не могут разрботать весь комплект подзаконных нормативных актов - полная неразбериха. Зачастую, новые провайдеры работают, прикрывшись писулей из минсвязи, что "лицензии временно не выдаются"... впрочем - уже выдаются :)
Меня всегда удивляло, когда кто-то говорил, что лог можно... 22.11.04 18:19  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Доброго времени суток! Вопрос такой! Прихватили по статье
> 272 за халявный инет который юзал годо полтора назад!
> пришли забрали комп (в нем то ничего нет т.к за 1.5 года
> все по переустанавливал) единственнно что у них есть это
> лог прова с номером моего телефона и сеансами выходов) .
> Помогите равалить дело т.е привести хорошие аргументы что
> лог прова это не доказательная база! Заранее благодарен!!!
> Дело весит уже год!!!!

Меня всегда удивляло, когда кто-то говорил, что лог можно предъявить как доказательство чего-то. В последний раз это было связано с проникновением в компьютер.
Доказательство просто: Берете свои логи. Редактируете их немножко (соответствующим образом :-). Представляете в суд. После этого у судей возникнет дилема: или признать, что логи не могут являться доказательством в суде, или, ...!!! что истец, его провайдер и сами судья постоянно ломяться на Ваш компьютер, воруют информацию, пароли и пр.
Разумеется оспоренные доказательства трактуются в пользу обвиняемого.
Короче суть в том, что логи можно модифицировать. Причем так, что не отличишь от оригинала. Это закон кибернетики.

А от себя добавлю: А о чем Вы думали, когда "воровали интернет"? Сколько Вам лет? Вы что не понимали, что наносили материальный ущерб? Сейчас от ответственности уйти хотите?
<без заголовка> 29.11.04 12:53  
Автор: Snow Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Меня всегда удивляло, когда кто-то говорил, что лог можно
> предъявить как доказательство чего-то. В последний раз это
> было связано с проникновением в компьютер.
<...skipped...>
> Короче суть в том, что логи можно модифицировать. Причем
> так, что не отличишь от оригинала. Это закон кибернетики.

Целостность логов обеспечивается адекватными средствами. Например: логи записываются прямо на CD (DVD) и снабжаются "на лету" ЭЦП.

А на суде в качестве свидетеля, например, вызывается независимый эксперт, который интерпретирует логи. Например, эксперт из бывшего "Управления "Р". Под страхом уголовной ответственности за дачу ложных показаний.
Целостность логов еще не позволяет обеспечить non-repudiation 06.12.04 15:27  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Целостность логов обеспечивается адекватными средствами.
> Например: логи записываются прямо на CD (DVD) и снабжаются
> "на лету" ЭЦП.
Логи можно сфальсифицировать например подключением своего компа в порт, назначенный жертве фальсификации, установке на него IP/MAC-а жертвы и проведением любой атаки от его имени.

Dialup тоже совсем не решает проблему. Презумпция невиновности и ВОЗМОЖНОСТЬ сфальсифицировать логи как у провайдера так и на АТС скорее всего будут сведут на нет эти доказательства.

Использование IPSec/SSL/VPN и прочее в принципе может применяться для этого (хотя в VPN-е сомневаюсь). Но вряд ли здесь этот случай
А сам MAXV что-то давно не заходил на форум, наверное посадили уже... 07.12.04 10:36  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 07.12.04 10:36  Количество правок: 1
<"чистая" ссылка>
Да нет еще. Пока дома сижу:) Предъявили обвинение, вот жду... 07.12.04 11:56  
Автор: MAXV Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Да нет еще. Пока дома сижу:) Предъявили обвинение, вот жду хватит ли у них смелости кинуть в суд. т.к в компе ничего нет и есть желесное алиби что в 50% выходов в сеть меня дома небыло.
Спасибо всем за ответ премного благодарен. А логи то оформлены не должным образом от прова присланы по мылу :))
Можно, при соблюдении кучи условий. Например контора А... 23.11.04 15:55  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Меня всегда удивляло, когда кто-то говорил, что лог можно
> предъявить как доказательство чего-то. В последний раз это
> было связано с проникновением в компьютер.
Можно, при соблюдении кучи условий. Например контора А сломала контору В. Эксперт берет предоставленные обоими провайдерами логи (исходим из того, что провы не заинтересованы), анализирует и дает заключение, что так и было. Логи от прововв такой ситуации вообще можно рассматривать как свидетельские показания.
Но по теме данного топика лог провайдера - сомнителен, т.к. он лицо заинтересованное.
Мы в России живем - какой эксперт, с какими провайдерами... 24.11.04 13:49  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Можно, при соблюдении кучи условий. Например контора А
> сломала контору В. Эксперт берет предоставленные обоими
> провайдерами логи (исходим из того, что провы не
> заинтересованы), анализирует и дает заключение, что так и
> было. Логи от прововв такой ситуации вообще можно
> рассматривать как свидетельские показания.
> Но по теме данного топика лог провайдера - сомнителен, т.к.
> он лицо заинтересованное.

Мы в России живем - какой эксперт, с какими провайдерами будет связываться, что он там будет анализировать, не будет ли он послан, если вообще возьмется за это, будет ли прокурор направлять запрос провам по этому делу?
Что провы предоставят - вырезку лога, посвященного данному клиенту? Что будет анализировать эксперт - то, что ему предоставили? Сможет ли эксперт утверждать по логам, что контора А именно "сломала" контору В? Что будет в логе - два АйПи адреса, время, объем данных (если пров это ведет)? Само содержание трафика там будет? То, что передано эксперту, может быть уже искажено? Как пров. докажет, что именно в это время, именно с этого адреса, именно эти деяния делели именно сотрудники конторы А?
Сорри, я уезжаю, так что недельки через 2, в середине... 24.11.04 15:19  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Мы в России живем - какой эксперт, с какими провайдерами
> будет связываться, что он там будет анализировать, не будет
Сорри, я уезжаю, так что недельки через 2, в середине декабря отвечу, если память не отшибет :)
Во-во... Я не верю, что провы логгируют сами данные. Это ж терабайты, блин! 24.11.04 15:12  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 24.11.04 15:14  Количество правок: 1
<"чистая" ссылка>
> Что будет анализировать эксперт - то, что ему
> предоставили? Сможет ли эксперт утверждать по логам, что
> контора А именно "сломала" контору В? Что будет в логе -
> два АйПи адреса, время, объем данных (если пров это ведет)?
> Само содержание трафика там будет? То, что передано
> эксперту, может быть уже искажено? Как пров. докажет, что
> именно в это время, именно с этого адреса, именно эти
> деяния делели именно сотрудники конторы А?

Subj. Типичные поля лога типичного прова такие:

ID: (Счетчик);
ProtocolType, ClientIP, RemoteIP, LocalPort, RemotePort: (Числовой);
StartTime, EndTime: (Дата/время);
Direction: (Логический);
InBytes, OutBytes: (Числовой);
Blocked: (Логический).

Вот и всё... Анализируйте, уважаемые эксперты, на здоровье ;-)
theory 24.11.04 18:35  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
Всё это верно и терабайты они хранить не будут - это понятно. Но вот чисто теоретический момент (который на практике нигде не применяется, насколько я знаю) - ведь можно хранить не сами данные, а, допустим, ЭЦП траффика, разбитого на достаточно солидные по объёму блоки. Тогда уже можно говорить не о терабайтах, а о (гига|мега)байтах, что не так уж и критично. А в случае предъявления кем-нибудь "подробного" лога ЭЦП может являться весомым аргументом в пользу целостности лога.

Но возвращаясь к корневому посту можно сказать, что доказательства всё же имеются - ведь помимо лога провайдера, на котором стоит АОН, есть ещё и логи самой АТС. И неизвестно в скольких местах кроме этого успел засветиться данный номер. Можно, конечно, сослаться, на фрикеров, но насколько мне известно, если АТС цифровая, подделать номер, с которого звонишь, не так уж и просто (если вообще реально) - только подключаясь к кабелю напрямую. С учётом того, что речь идёт не о "сексе по телефону" или межгороде, а о диалапе, причём скорее всего неоднократном, версия с фрикерами выглядит сильно неубедительно.

Во всяком случае я знаю нескольких ребят, которые на этом попадались - отмазаться полностью никому не удалось. Но никто, тем не менее, не сел. Все условку получили (вроде как по 2 года каждому, хотя точно уже не помню). А любая судимость снимается через пять лет после освобождения из мест лишения - через пять лет о судимости никто даже и не узнает. Так что не страшно, имхо. К тому же это всё таки "неправомерный доступ...", а не "изнасилование"...

А вообще я бы на месте автора корневого поста всеми силами давил на заявителя, что бы он забрал заявление (если ещё не поздно, что тоже вряд ли, т. к. уже год тянется дело)
Уйти конечно хочеться это безусловно! Просто получилочь так... 22.11.04 18:30  
Автор: MAXV Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Доброго времени суток! Вопрос такой! Прихватили по
> статье
> > 272 за халявный инет который юзал годо полтора назад!
> > пришли забрали комп (в нем то ничего нет т.к за 1.5
> года
> > все по переустанавливал) единственнно что у них есть
> это
> > лог прова с номером моего телефона и сеансами выходов)
> .
> > Помогите равалить дело т.е привести хорошие аргументы
> что
> > лог прова это не доказательная база! Заранее
> благодарен!!!
> > Дело весит уже год!!!!
>
> Меня всегда удивляло, когда кто-то говорил, что лог можно
> предъявить как доказательство чего-то. В последний раз это
> было связано с проникновением в компьютер.
> Доказательство просто: Берете свои логи. Редактируете их
> немножко (соответствующим образом :-). Представляете в суд.
> После этого у судей возникнет дилема: или признать, что
> логи не могут являться доказательством в суде, или, ...!!!
> что истец, его провайдер и сами судья постоянно ломяться на
> Ваш компьютер, воруют информацию, пароли и пр.
> Разумеется оспоренные доказательства трактуются в пользу
> обвиняемого.
> Короче суть в том, что логи можно модифицировать. Причем
> так, что не отличишь от оригинала. Это закон кибернетики.
>
> А от себя добавлю: А о чем Вы думали, когда "воровали
> интернет"? Сколько Вам лет? Вы что не понимали, что
> наносили материальный ущерб? Сейчас от ответственности уйти
> хотите?

Уйти конечно хочеться это безусловно! Просто получилочь так что брат и его дружки в мое отсутствие на компе работали и им обсолютно похер было какой в нем аккаунт стоил!!! ЛИШЬ БЫ БЫЛ ИНЕТ!!! А вот мне тепере отдуваться!!! Но по сле драки кулаками не машут, а делать что-то надо!!! Договориься с ментами не получаеться т.к они этого и ждут что сознаешься и гора с плечь!!!!
Заранее благодарен!!!
Вопрос в тему: как модифицировать логи WinXP на удаленном компе?? 23.11.04 14:49   [DamNet [Bugtraq.ru Team]]
Автор: Duke Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Суть в том, что это возможно. И разобраться в том, что оригинал и что модифицированно - нереально. 24.11.04 13:51  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Если кроме логов других доказательств, свидетельских показаний и признаний нет, то следователи дело в суд не передадут. Расслабтесь. 23.11.04 13:44  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Странно... А вот если я наговорю «секс по телефону» на 1500$, и откажусь от счёта, что будет? Основанием для выставления счёта тоже ведь являются логи телефонной станции... 23.11.04 13:57  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 23.11.04 13:58  Количество правок: 2
<"чистая" ссылка>
1  |  2 >>  »  






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach