Экспертные задачи бывают сложные и не очень. Это зависит и от субъективных факторов, как например опыта эксперта, погруженности в тему цифровых доказательств сторон спора и самого суда или корректности поставленных вопросов. И от объективных – тут уже все завязано на доступность и сохранность объекта исследования, его технические характеристики.
Но иногда бывают такие случаи, когда исследование сложное, хотя оно и простое. Точнее простое и очевидное для специалиста, но сложное для восприятия неспециалистом. Потому что «обыденное» знание и «разговорные» термины, вполне логичные и понятные для нормального человека, начинают конфликтовать со специальными терминами из этого самого ИТ.
Вот, например, есть такая штука, как «дата и время создания файла». И сколько уже говорилось, что есть масса способов это все поменять как заблагорассудится, в ряде случаев даже простым переводом часов компьютера – все равно хотят люди ответа про эти самые дату и время, имея на руках один лишь только внешний накопитель. И как тут быть, что отвечать? Давайте разбираться.
Все знают, что если нажать на правую кнопку мыши по файлу, то там будут «свойства». И в них, помимо прочего, есть дата создания и дата модификации. И это важные даты, ведь у кого дата раньше, тот и автор, например. Или наоборот – у кого позже модификация, тот последний документ и переделывал, насажав туда ошибок. Так ведь? Логика подсказывает, что так. Иначе зачем вообще это все. Но дело в том, что это все – просто «чтобы было». Точнее когда-то давно это действительно придумывалось, чтобы удобнее искать разные версии, чтобы по дате фильтровать. Но когда оно придумывалось, то видимо никто особо не думал о том, что кому-то другому придет в голову дату подменять. И защиты от такой подмены в самом файле (и его метаданных) просто не предусмотрено. Вот совсем.
Кроме того «дата и время создания» – они ведь относятся к конкретному файлу. И даже без злого умысла поменяются в том случае, если вы возьмете, например, «file.wav» и запишете на компакт диск. Да, на диске появится такой же «file.wav». Но только это будет не «тот же», а именно что «такой же». И датой создания этого файла будет дата записи на диск, а не дата создания оригинала.
Но это полбеды, мы же еще к умыслу не перешли. А ведь можно прямо сейчас скакануть в 2000й или в 2030й и записать диски там. И, напомним, машина времени даже для этого не нужна – просто локальное время на ПК поменять на период записи диска проигрывателем. А ведь еще есть тот же Total Commander с функцией прямого изменения атрибутов файлов. Или всякие конвертеры, типа dBpoweramp, с еще большим возможностями по творческой обработке метаданных, или вообще, exiftool.
На первый взгляд выводы тут – «как страшно жить» и «этим вашим цифровым штукам верить нельзя». Но нет, не так. Правильный вывод – просить суд выдать экспертам правильные объекты. Не производные, непонятно как относимые и насколько достоверные. Ведь все, что легко подделать рано или поздно кто-то обязательно подделает. А оригинальные, те, что находятся на компьютерах, на которых спорные файлы создавались. А еще лучше – сами эти компьютеры. Потому что именно их исследование и покажет, были ли эти даты реальными или нет.
Ах нет их, компьютеров этих, пропали? И архивов файлов с бэкапами нет? Ну так значит и нет такого доказательства, исключайте его из доказательственной массы. С еле-еле читаемыми ксерокопиями черно-белых ксерокопий с непонятной подписью и печатью так делают, а почему ж с такими же цифровыми «ксерокопиями» не поступать по аналогии? Их сотворить еще проще, даже ксерокс искать не надо.
Но иногда бывают такие случаи, когда исследование сложное, хотя оно и простое. Точнее простое и очевидное для специалиста, но сложное для восприятия неспециалистом. Потому что «обыденное» знание и «разговорные» термины, вполне логичные и понятные для нормального человека, начинают конфликтовать со специальными терминами из этого самого ИТ.
Вот, например, есть такая штука, как «дата и время создания файла». И сколько уже говорилось, что есть масса способов это все поменять как заблагорассудится, в ряде случаев даже простым переводом часов компьютера – все равно хотят люди ответа про эти самые дату и время, имея на руках один лишь только внешний накопитель. И как тут быть, что отвечать? Давайте разбираться.
Все знают, что если нажать на правую кнопку мыши по файлу, то там будут «свойства». И в них, помимо прочего, есть дата создания и дата модификации. И это важные даты, ведь у кого дата раньше, тот и автор, например. Или наоборот – у кого позже модификация, тот последний документ и переделывал, насажав туда ошибок. Так ведь? Логика подсказывает, что так. Иначе зачем вообще это все. Но дело в том, что это все – просто «чтобы было». Точнее когда-то давно это действительно придумывалось, чтобы удобнее искать разные версии, чтобы по дате фильтровать. Но когда оно придумывалось, то видимо никто особо не думал о том, что кому-то другому придет в голову дату подменять. И защиты от такой подмены в самом файле (и его метаданных) просто не предусмотрено. Вот совсем.
Кроме того «дата и время создания» – они ведь относятся к конкретному файлу. И даже без злого умысла поменяются в том случае, если вы возьмете, например, «file.wav» и запишете на компакт диск. Да, на диске появится такой же «file.wav». Но только это будет не «тот же», а именно что «такой же». И датой создания этого файла будет дата записи на диск, а не дата создания оригинала.
Но это полбеды, мы же еще к умыслу не перешли. А ведь можно прямо сейчас скакануть в 2000й или в 2030й и записать диски там. И, напомним, машина времени даже для этого не нужна – просто локальное время на ПК поменять на период записи диска проигрывателем. А ведь еще есть тот же Total Commander с функцией прямого изменения атрибутов файлов. Или всякие конвертеры, типа dBpoweramp, с еще большим возможностями по творческой обработке метаданных, или вообще, exiftool.
На первый взгляд выводы тут – «как страшно жить» и «этим вашим цифровым штукам верить нельзя». Но нет, не так. Правильный вывод – просить суд выдать экспертам правильные объекты. Не производные, непонятно как относимые и насколько достоверные. Ведь все, что легко подделать рано или поздно кто-то обязательно подделает. А оригинальные, те, что находятся на компьютерах, на которых спорные файлы создавались. А еще лучше – сами эти компьютеры. Потому что именно их исследование и покажет, были ли эти даты реальными или нет.
Ах нет их, компьютеров этих, пропали? И архивов файлов с бэкапами нет? Ну так значит и нет такого доказательства, исключайте его из доказательственной массы. С еле-еле читаемыми ксерокопиями черно-белых ксерокопий с непонятной подписью и печатью так делают, а почему ж с такими же цифровыми «ксерокопиями» не поступать по аналогии? Их сотворить еще проще, даже ксерокс искать не надо.