бно дізнатися ці налаштування. Для цього буде потрібно сприяння провайдера, обслуговуючого сервер. Розташування поштової скриньки документується протоколом огляду сервера або висновком експерта в ході проведення КТЕ.
Доказами факту використання поштової скриньки певною особою можуть бути:
· наявність на комп'ютері у особи налаштувань для доступу до ящика ЕП, у тому числі і пароль до цього скриньці;
· наявність на комп'ютері у особи отриманих повідомлень ЕП зі службовими заголовками, що свідчать про проходження повідомлень через цей ящик;
· наявність на сервері, де розташований ящик, логів про успішне з'єднанні і аутентифікації користувача даного поштового ящика;
· наявність у інших абонентів повідомлень від цієї особи, написаних у відповідь на повідомлення, відправлені на цю поштову скриньку.
Крім розглянутих проводяться й інші ОРЗ, зазначені в ст. 7 Закону КР «Про ОРД».
Як зазначалося вище, огляд місця події може проводитися до порушення кримінальної справи. Особливо слід відзначити огляд, проведений у відношенні сервера провайдера в цілях дослідження знаходяться на ньому лог-файлів, а також логів мейл-сервера і заголовків ЕП.
Логування подій визначає політику безпеки комп'ютера, а саме одну з її складових - аудит. Ведення процесу логування підвищує ймовірність виявлення злочинця, а також його викриття. У будь-якій операційній системі ведеться журнал реєстрації подій, який фіксується в рамках якої-небудь програми. Кожному події відповідає своя запис. Записи відкладаються в окремий файл, який призначається самою програмою. У логах можуть зберігатися будь-які відомості. Форма запису залишається на розсуд автора програми. Є логи цільові, які орієнтовані на цілі безпеки та розслідування інцидентів. Слід мати на увазі, що логи можуть вестися різними програмами. У цьому випадку всі ці та інші місця повинен вказати фахівець, що бере участь в огляді місця події, у тому числі не виключено, що доведеться запрошувати не одного, а двох і більше фахівців.
Найчастіше в логах відкладаються дані про IP-адресу клієнта; часу запиту, включаючи часовий пояс; поля HTTP-запиту клієнта; код відповіді веб-сервера; помилки, що відбулися при завантаженні веб-сторінці та ін.
При дослідженні логів треба пам'ятати, що поля HTTP-запиту можуть бути фальсифіковані злочинцем, тому формуються вони на його боці. Зафіксованому в балці IP-адресою можна довіряти, але треба пам'ятати, що ця адреса може виявитися IP проксі-сервера або іншого посередника. Внутрішні поля веб-сервера не можуть бути фальсифіковані.
Для перевірки достовірності даних логів веб-сервера застосовується зіставлення записів між собою, а також з іншими логами.
Повідомлення ЕП створюється на комп'ютері відправника в програмі, званої клієнтом ЕП. Потім воно відправляється на сервер ЕП відправника. Звідти - на сервер ЕП одержувача відразу або ж через проміжний сервер ЕП (релей). На сервері одержувача повідомлення поміщається в поштову скриньку відповідного користувача. З цього ящика при посередництві сервера доставки користувач забирає повідомлення. Повідомлення зберігається в клієнті відправника і одержувача. При проходженні через сервер відправника копія повідомлення не зберігається, але робиться запис в балці про його отримання і відправки. При цьому в повідомлення вставляється службовий заголовок «Received» - маршрутний заголовок.
При проходженні сполучення залишаються наступні сліди:
· копія повідомлення на комп'ютері відправника;
· запис в балці кожного сервера ЕП відправника;
· копія повідомлення на комп'ютері одержувача з доданими по шляху заголовками;
· сліди на комп'ютері відправника в результаті робіт антивірусних програм, мережевих сполук, що відносяться до повідомлення ЕП;
· сліди в логах провайдера, через які здійснювалося з'єднання комп'ютера злочинця і сервером відправника;
· записи в логах антиспамових програм на всіх серверах ЕП відправника, через які пройшло повідомлення;
· сліди серверів ЕП відправника в результаті їх обігу до DNS-серверів під час прийому і передачі повідомлення;
· сліди в логах провайдера серверів ЕП одержувача;
· інші сліди на комп'ютері одержувача.
У разі використання замість програми веб-клієнта веб-інтерфейс сервера ЕП додаються сліди, характерні для перегляду веб-сторінок.
Для визнання результатів ОРЗ, проведених в ході огляду місця події, доказами, крім протоколу огляду, прикладаєть...
