Значення поточної дати і часу в URL

  • Дата 15/10/2018

До лабораторії “Gross” надійшло звернення щодо підтвердження факту подання електронної декларації.
Замовнику інкримінується, що він 28 та 30.03.2017 з’єднувався із сервером, виконав ряд дій для подання декларації, проте не натиснув кнопку «Подати документ» та не підписав документ власним електронним цифровим підписом, в результаті чого декларація вважається не поданою. Спеціалістом для дослідження надавався ноутбук та інформація про послідовність дій користувача, надана адміністраторами сайту.

Перед спеціалістами Gross ставилися завдання:

 

  • встановити, чи містяться на носієві даних записи про з'єднання із веб-ресурсом, на якому надається можливість подавати щорічні декларації;
  • визначити послідовність дій користувача, які виконувалися під час сесії на цьому веб-ресурсі;
  • встановити чи міститься запис про натискання кнопки та підписання документу власним електронним цифровим підписом.

 

Спеціалістами проводився аналіз файлів веб-переглядачів, в результаті чого виявлено записи історії відвідування веб-ресурсу, на якому надається можливість подавати щорічні декларації. У ході вивчення історії веб-браузера з’ясовано, що дата та час відвідування веб-ресурсу користувачем не відповідали тим, які повідомляли адміністратори сайту. Водночас, послідовність дій співпадала, за винятком деяких записів, які будуть зазначені нижче.
Так, для з’ясування питання №3, спеціалістам потрібні були порівняльні зразки записів, які можуть залишатися внаслідок натискання кнопки “Подати декларацію”. Для цього спеціалістом лабораторії був проведений експеримент, в результаті якого були отримані зразки записів у файлах браузера, які залишаються після надсилання заповненої та перевіреної на правильність декларації.
Далі спеціалістом виконаний пошук структур даних на НЖМД замовника, аналогічних тим, що отримані в результаті експерименту. Як наслідок - виявлено записи, які можуть свідчити про те, що користувачем надсилався документ. Проте, виявлений запис створений у квітні 2017 року, а не в березні, як вказувалося адміністраторами.
Щоб з’ясувати причину розбіжностей у даті, спеціалістом досліджувалися системні файли операційної системи. У результаті цього аналізу виявлено:

 

  • - нехарактерні для нормальної роботи записи про зміну системного часу операційної системи (наприклад, з 15 на 12 число);
  • - помилки про невідповідність сертифікатів, зафіксовані в журналах ОС, які характерні для системи з неправильною конфігурацією системного часу.

 

Виявлені дані наводили на те, що у момент заповнення і подання щорічної декларації, на персональному комп’ютері замовника могли бути невірно конфігуруванні системні дата і час.
Для того, щоб дістатися істини, спеціалістом був проведений поглиблений аналіз даних, які містилися на накопичувачі замовника, дата та час системних подій бралися із різних джерел і порівнювалися з іншими слідами, створювалися маски регулярних виразів, які відповідали критеріям пошуку значень дати і часу у форматі «Epoch Unix-час», проведено ряд інших операцій.
Наслідком наполегливості спеціалістів лабораторії Гросс став наступний результат. Під час вивчення структур даних URL встановлено, що після надсилання користувачем пошукового запиту, пошукова система (Яндекс, Google) представляє результати у форматі посилань на веб-ресурси, які доступні в мережі Інтернет, з запитуваною користувачем інформацією. У файлах, які входять до складу веб-переглядачів (історія відвідування, список URL, кеш та ін.), створюються та зберігаються записи пошукових запитів користувача та результати, представлені пошуковою системою. Виявилося, що структури цих URL містять значення часу і дати пошукового запиту у форматі UNIX-часу та стандарту UTC без прив’язки до системного часу кінцевого пристрою користувача. В більшості випадків, такі дані зберігаються у файлах кешу (Cache) веб-переглядача.
Щоб перевірити достовірність версії спеціаліста, проводився експеримент, який умовно було поділено на два етапи:

 

  • - спеціалістом із використанням веб-переглядачів виконувався пошук інформації, доступної з джерел мережі Інтернет, при конфігурації системних дати і часу, які відповідали поточній;
  • - спеціалістом із використанням веб-переглядачів виконувався пошук інформації, доступної з джерел мережі Інтернет, при неправильно налаштованих системних дати та часу.

 

Версія про те, що у структурі URL (на сьогоднішній день відомо, що найбільш частіше це трапляється у результатах пошуку пошукової системи), містяться 2 значення дати і часу, як поточної, так і системної, підтвердилась.
Як приклад, на зображенні представлено структуру даних URL, отриману як порівняльний зразок під час експерименту.

 

Значення поточної дати і часу в URL, фото 1

Значення поточної дати і часу в URL, фото 2

А ось приклад одного із записів URL, виявленого на накопичувачі замовника, в якому містяться розбіжності у даті та часі.

Значення поточної дати і часу в URL, фото 3

Таким чином, спеціалістами лабораторії цифрової криміналістики «ГРОСС» були відшукані корисні сліди, збудовано хронологію подій в операційній системі, відтворено послідовність дій користувача, досліджено слідоутворення. Завдяки цій кропіткій роботі сформовано обґрунтований висновок, який може допомогти встановити істину у судовій справі.

 

Read 126 times Last modified on Субота, 24 листопада 2018 16:20

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top