​​Сохранение доказательств из онлайн-источников для использова | Molfar

​​Сохранение доказательств из онлайн-источников для использования в суде: Дело Отмана Хамдана

В 2017 году федеральная полиция Канады обвинила палестинского беженца Отмана Хамдана в провоцировании на совершение теракта и консультировании по вопросам совершения преступлений в интересах террористической организации. Обвинения связаны с серией сообщений Хамдана, которые поддерживают присутствие ISIS в Ираке и Сирии.

Федеральная полиция изучила цифровые следы Хамдана и сохранила скриншоты его страниц в Facebook. Следствие также отправило запрос Facebook Canada и получило Facebook ID, email и IP-адрес администратора страниц, которые ассоциировали с Хамданом. Ответ на запрос интернет-провайдеру Shaw Cablesystems подтвердил, что IP-адрес 50.65.51.141 закреплен за пользовательским аккаунтом Хамдана.

Суд акцентировал внимание на том, что Джонсон и Спирмэн использовали приложения для захвата экрана Snagit и Awesome Screenshot. Это софт не криминалистического класса, который не сохраняет метаданные или исходный код страниц. Эксперт в области цифровой криминалистики Кевин Рипа выделил специализированный софт для сбора электронных доказательств, который сохраняет исходный код веб-страницы и метаданные - это X1 Social Discovery и Hunch.ly.

Джастин Зайтц, создатель сервиса Hunch.ly, не прошел мимо и прокомментировал выдержки из слушания по делу Хамдана, которые относятся к сбору электронных доказательств:

Полицейский Джонсон не захватил ни исходный код, ни метаданные. Он рассчитывал, что следователи изучат скриншоты и примут решение о том, как проводить расследование.

Трудно сказать, за какими “метаданными” они охотятся. Это могут быть метаданные фотографий или видео. Исходный код может означать HTML или Javascript. Hunchly захватывает и то, и другое.

Гражданский наблюдатель Спирмэн свидетельствовала, что все скриншоты - корректные точные копии оригиналов. Однако, в некоторых случаях Snagit и Awesome Screenshot оставили "баннерные артефакты", так как приложения не умеют правильно захватывать страницу при прокрутке. Баннер, который должен оставаться в верхней части страницы Facebook, появлялся в других частях скриншота и перекрывал текст.

Это проблема большинства приложений захвата, которые боятся прокрутки веб-страниц. Hunch.ly не исключение - в единичных случаях пользователи встречали артефакты, которые связаны с тем, как CSS рендерит некоторые фрагменты страниц профиля. Часто проблема решается при переходе на мобильную версию страницы Facebook. Мобильные сайты используют меньше стилей и динамического контента, и при захвате страницы создается меньше артефактов.

Превосходство Hunch.ly в том, что артефакты CSS, которые перекрывают контент, не перекрывают исходный код. Вы можете открыть захваченный MHTML и увидеть оригинальный контент независимо от визуальных артефактов.

Это невозможно сделать с помощью приложений захвата скриншотов.

Спирмэн отслеживала страницы, связанные с Хамданом, но задача усложнилась, так как Facebook регулярно закрывал эти страницы. Предположительно, это связано с тем, что содержание страниц и профилей нарушало условия условия использования Facebook. Таким образом, Спирмэн пришлось находить другие страницы и профили, которые принадлежали Хамдану.

Полный захват содержимого страниц превосходит скриншоты, так как страницам, которые содержат экстремистский контент, часто угрожает блокировка. Полный захват контента позволит вернуться назад и просмотреть ссылки на другие профили, группы и связанные материалы. Вы не сделаете это со скриншотами.

Читать другие комментарии Джастина Зайтца по делу Хамдана: http://bit.ly/2Zv1XJT

#расследование #кейс