Доказательная сила логов

[Djalolatdin Rakhimov]

статья-победитель зимнего конкурса статей на SecurityLab.ru:

Цитата:

Опубликованная ранее статья И.В.Собецкого на ту же тему, хотя и декларирует мнение, которое автор разделяет, мнение о доказательности компьютерных логов, но, к сожалению, не вносит ясности в вопрос, в каких случаях логи должны иметь доказательную силу, а в каких – не должны.
В судебно-следственной практике автор встречал такие крайности, как полное отрицание следователем какого-либо значения логов вообще или принятие судьёй в качестве доказательства распечатки логов, принесённой потерпевшим (даже без подписи).
В данной работе ставится задача определить условия, при которых логи (конечно, не сами по себе логи, а производные от них доказательства) могут и должны иметь доказательную силу...

далее http://www.securitylab.ru/contest/285274.php

[Djalolatdin Rakhimov]

второе место:

Цитата:

...Для понимания метода атаки необходимо рассмотреть процесс установления связи по сигнализации SIP. Для этого я использую очень полезную утилиту SIP Scenario http://www.iptel.org/~sipsc/. В данном примере производится звонок с программного клиента на Cisco с FXO картами, подключенными к мини АТС. В качестве SIP Proxy сервера используется SER. В примере опущен процесс аутентификация на SIP сервере, который присутствует в реальных условиях....

далее http://www.securitylab.ru/contest/283294.php

[Vladimir Sheyanov]

Интересные статьи. Вопрос доказательной базы всегда стоял очень остро, тем более к доказательствам, которые нельзя "потрогать". Сам по себе процесс доказывания очень сложен и малейшие ошибки и разночтения могут привести к оправданию человека, совершившего преступление. Тут встаёт вопрос о появлении экспертов криминалистов, специализирующихся на процессуальном документировании процесса изъятия логов и другой информации содержащейся на ПК. Подобного рода инструкцию я видел у одной американской правоохранительной структуры (ссылочку найду, скину). Процесс описыватеся от входа в помещение, до выхода из него - т.е. точное, конкретизируемое, пошаговое описание процесса изъятие информации.

[Vladimir Sheyanov]

Понравилось сторонее решение во второй статье с регистрацией анкеты на сайте знакомств. Дёшево и сердито.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Vladimir Sheyanov

Тут встаёт вопрос о появлении экспертов криминалистов, специализирующихся на процессуальном документировании процесса изъятия логов и другой информации содержащейся на ПК.

одним из вариантов сохранности и неизменности логов по истечении времени было бы удаленное хранение лога. то есть, системы при возникновении события делает запись о нем не только у себя, а также скидывает на носитель (по сети на другой сервер), доступ на модификацию которого админ первичной системы не имеет.

это еще раз вопрос к тому, чтобы при работе с регистраторами доменов (у нас) тут же давать им в персональный кабинет лог системы по их действиям, чтобы системы подтверждала изменения, причем немедленно, чтобы не было возможных обвинений в нашу сторону, как держателям сервиса, имеющим неограниченные в ней права

[Iskander Koneev]

Этот вопрос более-менее подробно проработан на Западе...

Из доступного - в Интернете была версия книги Information security handbook, автор Hal Tipton.
Обратите внимание, что даже добытые с соблюдением всех условий улики в электронном виде относятся к категории hearsay - дословно "слухи", а более подробно "информация, добытая через третьи руки".

Еще одно интересное условие, которое порой упускается из виду, это то, что логи должны быть получены в результате ежедневных рутинных операций. То есть, если логи подготовлены специально для обвинительного случая, они не будут рассмотрены, как доказательство.

На практике, я думаю, решение о доказательности логов должен принимать эксперт. При одном условии - экспертное заключение должно состоять не из одной фразы "верить / не верить", а с подробным описанием - на основании чего и при соблюдени каких условий эксперт сделал вывод. С тем, чтобы, используя это заключение, любой другой независимый эксперт мог повторить логическую цепочку и однозначно придти к тем же выводам.

В условиях непрописанности этих тонкостей в законах, я рекомендовал бы любые действия по подготовке электронных доказательств проводить строго в составе комиссии не менее чем из 3 человек, причем минимум 1 из них должен быть независим от того, у кого основная роль по сбору доказательств.
Второе условие - каждое действие этой комиссии должно быть запротоколировано в бумажном виде, очень подробно и подписано всеми членами комиссии.
В таких условиях даже распечатка скриншота (снабженная тремя подписями) превращается из бумажки в документ.

[Maxim Khalmatov]

кстати Собецкий жутко интересно ведет лекции очень много красочных (иногда непонятно выдумывал специально или нет, но все равно интересно!) примеров, короче сильно рекомендую попасть к нему.

[Iskander Koneev]

Для тех, кто не работает в специальных органах, столкнуться с описываемой в статье ситуацией вряд ли придется.
Гораздо насущнее следующий вариант:
Сотрудник нарушил правила ИБ, что повлекло за собой некоторый ущерб предприятию. Ну или, как минимум, создало угрозу…
Короче говоря, результатом стало решение руководства наказать сотрудника – лишить премии или даже уволить.
Вот необходимость избежать последующего обращения этого сотрудника в суд за возмещением ущерба – это гораздо более часто встречающийся вопрос для рядовой службы ИБ учреждения.

Скорее всего, репрессии будут применены с некоей стандартной формулировкой типа “нарушение внутреннего распорядка” или более подробно “нарушение требований ИБ”. В случае обращения сотрудника в суд, потребуется доказать что нарушение было, что он не уволен по прихоти руководства.
Вот над этим и надо поработать.

1. Как минимум должны существовать Правила, которые он нарушил. Рассуждения типа “Все и так знают, что удалять корпоративные базы нельзя” в суде не пройдут. Правила должны быть утверждены в порядке, обеспечивающем их исполнение всеми сотрудниками и доведены под роспись, либо с сотрудника взято письменное обязательство об их соблюдении. Если предприятие предусматривает доведение информации до сотрудников в электронном виде, значит необходимо предусмотреть регистрацию события и обеспечение его юридической значимости (ЭЦП и т.д.). Обычно, на практике проще обойтись все-таки бумажкой.
2. Законодательства некоторых стран запрещают получать доступ, изучать и анализировать электронные сообщения гражданина без санкции прокурора или без разрешения самого гражданина. Если планируется в качестве доказательства использовать содержание электронных писем, Интернет-серфинга (что тоже может быть признано вариантом сообщения – запрос пользователя и ответ сервера) и т.д., то надо озаботиться документом, в котором сотрудник прямо и явно разрешает организации (уполномоченным работникам) все указанные действия со своей электронной активностью на рабочем места. Обращаю внимание, что расписка из п.1 об ознакомлении и готовности следовать корпоративным правилам не является разрешением на просмотр электронных сообщений – это другая бумажка и о ней надо озаботится отдельно!
3. Создать комиссию, о которой я писал в предыдущем постинге. Комиссия исследует имеющиеся электронные доказательства, в том числе, средства их получения/хранения, что подробно описывает в акте. Отдельное внимание необходимо уделить описанию того, почему эти доказательства не могут быть подделаны заинтересованными лицами.
Понятно, для выполнения последнего должны быть созданы определенные технические условия. Если десяток человек имеет доступ с правом изменения данных к логу, то использовать его в качестве доказательства бессмысленно.
4. Та же комиссия вызывает сотрудника либо прибывает на его рабочее место и оглашает ему список претензий от имени организации, подтверждая это ссылкой на имеющиеся доказательства (при необходимости демонстрируется копия акта из п.3).
5. Сотруднику предлагается написать объяснительную, в которой должно быть явно указано, что он признает факт своего нарушения Правил ИБ. Если же он отказывается писать объяснительную, необходимо потребовать от него устного разъяснения, в ходе которого выяснить его понимание факта нарушения ИБ. При необходимости, продемонстрировать ему копии его обязательства о соблюдении Правил ИБ.


6. Комиссия составляет акт с указанием претензий к сотруднику и описанием его реакции на них – признал / не признал, что говорил и т.д. Неплохо получить от сотрудника подпись, что он с этим актом ознакомлен.

На основании объяснительной либо акта из п.6 возможно проводить репрессии.

В определенной ситуации может возникнуть потребность исследования компьютера сотрудника. Комиссия должна начать эту процедуру немедленно либо обеспечить неприкосновенность компьютера до прибытия эксперта. В первую очередь необходимо отстранить самого сотрудника – никакие причины “я только перепишу на дискету” или, тем более, “выключу компьютер” не допускаются. Во вторую очередь необходимо обеспечить отсутствие доступа к компьютеру по сети (у сотрудника могут быть продвинутые друзья). Видимо, наиболее простой вариант – отключение сетевого кабеля. Но тут уже идут технические детали. Из наиболее существенного – необходимо обратить внимание на то, что на компьютере может быть установлена автоблокировка через определенное время. Для разблокировки потребуется пароль сотрудника либо дополнительные технические работы, которые могут привести к оспариванию выявленных позже доказательств.
Наилучший вариант – начать исследование компьютера немедленно и в присутствии сотрудника. Возможно, обнаруженные явные свидетельства его нарушения будут способствовать признанию им своей вины.
В любом случае, все действия комиссии или эксперта по обнаружению и извлечению доказательств должны документироваться.

Наиболее сложный вариант – когда сотрудник все отрицает и ничего не признает даже устно. Видимо в такой ситуации необходимо вызвать независимого эксперта (например, из CERT), который по горячим следам проанализирует ситуацию и зафиксирует результаты работы комиссии своим письменным заключением либо даст дополнительные рекомендации.

Необходимо также помнить, что в ряде стран трудовое законодательство запрещает применять к работнику более суровые меры, чем предупреждение или выговор, если последствия его нарушения не нанесли прямого время предприятию. Иначе говоря, уволить можно только после одного или двух предупреждений (выговоров). Это значит, что по результатам работы комиссии, сотруднику должен быть направлен документ о предупреждении/выговоре. На документе сотрудник должен поставить роспись о том, что он ознакомлен.
Данный документ может также послужить косвенным подтверждением (я не уверен, что доказательством, поэтому не использую этот термин) признания вины, если сотрудник не оспорит это предупреждение/замечание в разумный срок.

Если же сотрудник занял полностью враждебную позицию – ничего не подписывает и все отрицает, видимо, необходимо признать его потенциально опасным для предприятия и предпринимать какие-то меры, которые лежать вне компетенции ИТ и ИБ.

Понятно, что вышеуказанное применяется только к сотруднику, о проступке которого достоверно известно. Впрочем, в большинстве предприятий о сотрудниках имеется более подробная информация, чем, скажем у судьи об обвиняемом, которого он видит впервые.
Тем не менее, в любом случае, необходимо исключить вероятность того, что сотрудника подставляет кто-то из ИТ, ИБ или других служб.

[Djalolatdin Rakhimov]

сильное сообщение...

Цитата:

Сообщение от Iskander Koneev

1. Как минимум должны существовать Правила, которые он нарушил. Рассуждения типа “Все и так знают, что удалять корпоративные базы нельзя” в суде не пройдут. Правила должны быть утверждены в порядке, обеспечивающем их исполнение всеми сотрудниками и доведены под роспись, либо с сотрудника взято письменное обязательство об их соблюдении.

это очень важно

Цитата:

2. Законодательства некоторых стран запрещают получать доступ, изучать и анализировать электронные сообщения гражданина без санкции прокурора или без разрешения самого гражданина.

как это дело обстоит в Узбекистане? Примерно

Цитата:

Если планируется в качестве доказательства использовать содержание электронных писем, Интернет-серфинга (что тоже может быть признано вариантом сообщения – запрос пользователя и ответ сервера) и т.д., то надо озаботиться документом, в котором сотрудник прямо и явно разрешает организации (уполномоченным работникам) все указанные действия со своей электронной активностью на рабочем места.

А это не является нарушением КЗОТ и других документов со стороны работодателя?

Цитата:

Наиболее сложный вариант – когда сотрудник все отрицает и ничего не признает даже устно. Видимо в такой ситуации необходимо вызвать независимого эксперта (например, из CERT), который по горячим следам проанализирует ситуацию и зафиксирует результаты работы комиссии своим письменным заключением либо даст дополнительные рекомендации.

Независимая структура (комиссия) - лучший вариант. При использовании соотв. специалистов - еще и компетентно. CERT уже имеет опыт участия в служебном расследовании. Эффективно. На каком предприятии - закрыто, не спрашивайте.

Цитата:

Необходимо также помнить, что в ряде стран трудовое законодательство запрещает применять к работнику более суровые меры, чем предупреждение или выговор, если последствия его нарушения не нанесли прямого время предприятию. Иначе говоря, уволить можно только после одного или двух предупреждений (выговоров). Это значит, что по результатам работы комиссии, сотруднику должен быть направлен документ о предупреждении/выговоре. На документе сотрудник должен поставить роспись о том, что он ознакомлен.

Вот это самое поразительное!

Цитата:

Если же сотрудник занял полностью враждебную позицию – ничего не подписывает и все отрицает, видимо, необходимо признать его потенциально опасным для предприятия и предпринимать какие-то меры, которые лежать вне компетенции ИТ и ИБ.

Определенно. Нелояльный сотрудник - плохой сотрудник.

Искандер, спасибо!

[Vladimir Sheyanov]

Цитата:

Сообщение от Djalolatdin Rakhimov

как это дело обстоит в Узбекистане? Примерно

Любое вмешательство в личные дела гражданина и использование его персональной и частной информации у нас запрещается, конечно если в этом не возникает необходимость в ходе следственных действий, и конечно-же с санкции прокурора. Однако другое дело - "корпоративная почта". Она предназначена для передачи служебной информации и ведения служебной переписки. В данной связи, существует возможность её "мониторинга" в рамках принятой на предприятии Политики ИБ. Тоже самое относится и к вэб-серфингу и использованию других технических и информационных ресурсов доступных в ходе выполнения своих служебных обязанностей, так как они предоставляются для выполения определённых, предусмотренных функциональными обязаннастями задач, а не развлекательных и иных целей.