Но насколько можно им доверять? Говорят, можно вручную поменять время на компьютере и все – дата создания документа будет нужной. Задачка не сложная, навыков нужно немного. Или подправить что-то на фотографии с помощью фотошопа. Уже посложнее. Ну или вообще волшебство – начать писать письмо в почте, а потом перенести его мышкой в «Отправленные». Готово – факт отправки контрагенту акта и счета налицо, отсчет срока для претензий и оплаты пошел. Примеров такой магии не сосчитать.
Получается, толку от этих цифровых следов мало – как можно на них опираться, если их так просто выдумать. Или все-таки тут есть нюансы?
Да, они есть. Все, что связано с IT – это сложно. И это комплексно. Это – система, с взаимосвязями и взаимозависимостями. Внутри сложной системы практически никакое изменение отдельного элемента не проходит незамеченным, оно всегда где-то фиксируется или на влияет на что-то еще. И с цифровыми доказательствами также.
Любое изменение внутри IT-системы логично (компьютеры придумали инженеры). События сменяют друг друга, подчиняясь закону причинно-следственных связей, порождая Time Line – линию времени, на которой располагаются отдельные события. Если одно из них странным образом выбивается, значит кто-то вмешивался в процесс. Увидеть это не проблема для специалиста.
Откуда специалист возьмет все эти данные? Из самой системы. На наших устройствах немало программ, ведущих логи. Они записывают все «ходы», как в шахматах. И принудительное изменение в одной программе, например, смена системного времени компьютера, сильно повлияет на логи других программ – возникнет странный разрыв в хронологии событий.
Клиент утверждает, что работал с онлайн системой банка. А банк говорит, что этого не было. А если и было – в тот день был сбой и на сервере не осталось следов обращения клиента к системе банка.
Однако, на компьютере клиента есть браузер, загружаемое банковское ПО, антивирус. Если проанализировать данные в их журналах-логах, можно увидеть следы работы клиента с неким онлайн сервисом, расположенным на домене банка, именно в спорное время.
Бывают случаи, когда на компьютере действительно мало следов. Например, когда вся почта находится на общедоступном почтовом сервере (например, на Yandex). В таком случае сложно утверждать, было письмо или не было – после удаления из «Корзины» его уже не восстановить, а временные файлы на компьютере были заботливо уничтожены программой-клинером. Или, все-таки, найти следы письма можно?
Сложная система не ограничивается конкретным ноутбуком. В примере с почтой система гораздо больше. Настолько больше, что в нее включен Yandex. Если подтверждение получения или удаления сообщения нельзя найти на локальном компьютере, его можно получить от провайдера интернет-услуг, от «владельца» почтового сервера и так далее. Тут поможет технически и юридически правильно составленный запрос, направленный по нужному адресу.
Подделать можно все. Но и выявить такие подделки – задача решаемая. Для того есть широкий инструментарий арбитражной форензики, которым владеют эксперты DFCenter.
Ведете дела в арбитраже и сталкиваетесь с IT-технологиями и цифровыми доказательствами? Подписывайтесь на нашу группу DFCenter: компьютерная экспертиза и консалтинг для юристов или канал t.me/dfc_blog. Мы расскажем, чем арбитражная форензика может быть вам полезна.
#dfcenter #научпоп #арбитражная_форензика #компьютерная_криминалистика #компьютернаякриминалистика #форензика_для_юристов #форензика #КТЭ #СКТЭ