Приложение
Письмо г-на А. Исаева,
размещенное в INTERNET
(без сокращений)
Date:5 Feb 1998
From:Alexandr Isaev (alex@sakhalinn.rn)
Organization; TTS
newsgroups: relcom.fido.ru.networks
В РОССИИ ОСУЖДЕН ПЕРВЫЙ ХАКЕР...
ИЛИ
КАК ХАКЕРА ЛОВИЛИ
19-летнему студенту Южно-Сахалинского института экономики, права и информатики Сергею Гоярчуку, помимо нарушения ряда статей УК России, было инкриминировано нарушение трех законов Российской Федерации:
«Об информации, информатизации и защите информации», «О правовой охране программ для электронных вычислительных машин и баз данных», «О связи».
Наказания (за исключением штрафа) г-н Гоярчук так и не понесет: он попал под амнистию Госдумы РФ.
"Я Уголовный кодекс чту!" Остап Бендер.
19 января 1997 г. в Южно-Сахалинском городском суде завершилось слушание дела'по обвинению Юярчука Сергея в совершении противоправных действий, квалифицировавшихся по Статье 30 «Подготовка к преступлению и покушение на преступление». Статье 272. «Неправомерный доступ к компьютерной информации» и Статье 273. «Со-
здание, использование и распространение вредоносных программ для ЭВМ» УХ РФ.
Гоярчук С.А. является студентом 3 курса Южно-Сахалинского института Коммерции, предпринимательства и информатики. Гоярчук С.А. являлся техническим специалистом двух организаций, заключивших договора на услуги электронной почты и сети «Интернет». В связи с этим он имел доступ к нескольким компьютерам как в помещениях организаций, так и у себя дома, так как одна из организаций «передала ему один из компьютеров для ремонта кнопки питания».
При заключении договоров и в дальнейшем Гоярчук С.А. проявлял большой интерес к особенностям работы электронной почты, возможностям доступа к ней через различные сети передачи данных и сценариям работы с почтой в каждом из случаев.
В мае 1997 г. Гоярчук С.А.. первоначально вручную, а впоследствии, используя скрипт к терминальной программе «TELEX», пытался подобрать пароли к адресам пользователей электронной почты.
Все попытки осуществлялись через номер общего пользования сети Х.25 «Спринт» в г. Южно-Сахалинске. В результате Гоярчуку удалось подобрать пароли к адресам некоторых абонентов.
Подбор проводился либо в выходные и праздничные дни, либо в ночное время. В ночь с 14 на 15 мая и в ночь с 15 на 16 мая техническим персоналом ТТСи ГТС Южно-Сахалинска были проведены мероприятия по определению телефонного номера, с которого работал.
В ходе дальнейших оперативных проверок было выяснено, что это номер соседней квартиры, с хозяевами которой Гоярчук якобы договорился об использовании номера в ночное время.
Наблюдения за действиями Гоярчука продолжались до момента, пока он не разослал от имени ТТС некоторым пользователям электронной почты письма с просьбой сообщить все свои реквизиты, в том числе и учетные имена
сети «Интернет» с паролями. В письме в очень доброжелательной форме излагалось о планируемых ТТС улучшениях сервиса, которые действительно готовились, и предлагалось сообщить свои данные для создания некой базы данных, которое почему-то было необходимо в связи с увеличением пропускной способности магистрального канала связи.
Письмо было разослано с электронного адреса SAKHMAIL@CHAT.RU, который был зарегистрирован на сервере CHAT.RU. Найти владельцев этого сервера в Москве, для того чтобы определить IP адреса, с которых выполнялось соединение по РОРЗ, не удалось не только нам, но и представителям ФСБ, которые вели следствие. Так что пользуйтесь услугами бесплатных почтовых серверов!
6 июня 1997 г. было проведено задержание Гоярчука С.А. у него на квартире, в ходе которого было изъято два компьютера и около 40 дискет. В ходе исследования компьютеров на личном компьютере Гоярчука была найдена программа-скрипт SM_CRACK, электронные письма, адресованные одному из Южно-Сахалинских банков и коммерческой фирме, файл, содержащий текст письма, разосланного абонентам от имени ТТС.
В ходе следствия и в ходе судебного разбирательства Гоярчук С.А. давал очень путанные объяснения, суть которых сводилась к тому, что программу SM_CRACK он сам не составлял, а получил ее в ходе одного из CHAT сеансов от неизвестного ему пользователя SERGE. Влекомый юношеским любопытством, он запустил программу, но результатов ее на экране не увидел, поэтому решил исследовать ее дальше и оставил работать на ночь. Видимо, любопытство было столь велико, что заставляло включать ее каждую ночь в течение двух недель, а по выходным любопытство просто распирало пытливого юношу, поскольку программа работала и днем. В результате чего впоследствии внутригородской трафик Х.25 составил
1 750 000 руб., которые электронной почте пришлось оплатить.
Факт наличия чужих электронных писем у себя на компьютере Гоярчук также объяснял действием новой модификации программы SM CRACK, также полученной им от неведомого абонента. Эта новая версия не только подбирала пароли, но и осуществляла копирование содержимого почтового ящика на компьютер взломщика. Однако полученные письма были составлены в начале мая, а модификация появилась во второй его половине.
На этом действие мистических сил на Гоярчука не прекратилось. По его утверждениям, в конце мая он получил электронное письмо без адреса отправителя и заголовка, в котором предлагалось выполнить ряд команд. Безропотно выполнив их, он обнаружил, что настройка почтовой программы странно изменилась, однако, не придав этому значения, он «что-то сделал» и с его компьютера сообщение разошлось другим пользователям.
В действительности с адреса SAKHMAIL@CHAT.RU 30 мая в адрес одной из фирм, где работал Гоярчук С.А., было отправлено электронное письмо, текст, которого в точности совпадал с текстом, найденным у него на компьютере в отдельном файле.
Кроме этого, интервал времени между получением письма от безымянного отправителя и событием «что-то сделал» составил более суток, а само событие «что-то сделал» произошло в 1 час 35 минут ночи. Именно в это время было сформировано письмо от абонента SAKHMAIL@CHAT.RU и зафиксирована активность идентификатора сети «Интернет», который 14 мая был зарегистрирован Гоярчуком С.А., как представителем организации потребителя услуг.
В ходе судебного разбирательства Гоярчук С.А. пытался обосновать свои действия тем, что не понимал сути происходящих процессов и плохо разбирался в том, как работают компьютерные программы, которые он запускал. Однако по показаниям директора фирмы, в которой Гоярчук С.А. в течение более чем года (!) бесплатно (!!!) проходил практику, он обучал продавцов и бухгалтеров фирмы работе с компьютерными программами. Заслушав обвиняемого и свидетелей, государственное обвинение указало на соответствие квалификации действий Гоярчука С.А. предварительным следствием. И по совокупности просило суд применить наказание в виде лишения свободы сроком на три года со штрафом в размере 200 минимальных окладов. Однако, учитывая юный возраст подсудимого, положительные характеристики с мест работы и отсутствие судимостей, просило считать срок заключения условным, установив испытательный срок 2 года.
Защита, указав на техническую сложность дела, отсутствие судебной практики подобного характера, личность подсудимого, а также помощь (?), которую подсудимый оказал следствию в ходе расследования, просил не применять к подсудимому статьи 30 и 272 УХ, и ограничить наказание штрафом в 200 минимальных окладов. Кроме этого, в качестве одного из аргументов защита приводила факт отсутствия каких-либо предупреждений по поводу противоправности действий подзащитного в договоре на оказание услуг.
В результате суд пришел к решению признать Гоярчука С.А. виновным и применить меру наказания, предлагаемую обвинением.
Неофициальная версия происходящего.
ПРОВАЙДЕР, БУДЬ БДИТЕЛЕН!
Действия лиц, подобных Гоярчуку, кроме прямого материального ущерба, связанного с отказом организаций от оплаты графика, созданного своими пытливыми работниками, наносят и большой косвенный ущерб.
Во-первых, нужно достаточно много усилий квалифицированного технического персонала, для того чтобы обнаружить факты подбора паролей, отследить связь событий
по очень большим файлам статистики, определить место откуда действует взломщик.
Во-вторых, еще больше усилий требуется для изложения всех фактов, связанных с фактами покушений на взлом в письменном виде в форме, доступной для следственных органов и суда. Например, для пояснения 20 страниц Актов об обнаружении фактов подбора паролей, написанных в ходе определения взломщика, потребовалось 60 страниц пояснений для следствия и суда. А технические специалисты далеко не все сильны в эпистолярном жанре. Любая же неточность, неясность и неполная определенность используется защитой для того, чтобы поставить под сомнение правильность сделанных выводов. В-третьих, во время проведения следствия и до оглашения приговора суда запрещается разглашать ход следствия. Сроки следствия и суда довольно большие, слухи о том, что у провайдера какие-то проблемы, особенно в небольших городах, расходятся быстро, что в условиях конкуренции также сказывается на коммерческой деятельности.
Для того чтобы быть готовым к подобным событиям, рискну предложить организациям, оказывающим услуги электронной почты и сетей передачи данных, несколько советов.
1. В обязательном порядке во всех приглашениях (почтовых, FTP, при входе в сеть), если есть явное предложение к вводу пароля, на своем национальном языке и на английском языке включите фразу о противозаконности действий лиц, подбирающих пароли.
2. Включите в договора фразу или раздел о конфиденциальности. Например, «АБОНЕНТ сохраняет конфиденциальность всей информации, предоставляемой провайдером при наличии перечня, что таковая информация является "конфиденциальной" или "патентованной". Информация будет ограничена тем кругом лиц, у которых есть в ней необходимость, при этом они будут извещены о характере такой информации. К конфиденциальной информации относятся все пароли, присвоенные реквизитам АБОНЕНТА»
3. Если имеется техническая возможность, разрешите пользователям самостоятельно изменять свои пароли. Хлопоты, связанные с обучением по процедуре смены пароля, с лихвой окупятся временем, которое вы потратите, разбираясь с пользователями по поводу сумм их счетов, их ночного графика и писем, якобы отправленных от их имени. Если возможности удаленно менять пароли нет, то ни в коем случае не изменяйте их по телефону. Приглашайте пользователей в офис и предлагайте СОБСТВЕННОРУЧНО заполнить заявку на смену пароля с указанием даты, фамилии и подписи меняющего пароль.
4. Постарайтесь изолировать помещение, в котором располагаются технологические компьютеры, от того помещения, где у вас работают с потребителями. Если вам удастся сертифицировать технологическое помещение по безопасности, к вам очень сложно будет предъявить претензии по поводу утраты вами паролей абонентов.
5. Если пользователи активно интересуются вопросами своей безопасности, постарайтесь уделить им внимание. Не нужно убаюкивать их заявлениями, что у вас все в порядке, постарайтесь выяснить источник их беспокойства. Это будет полезно и вам, и пользователь увидит, что вы о нем беспокоитесь. Если появилось подозрение, что пользователь вас «колет», тем более с ним надо общаться как можно чаще, ведь ему можно подсказать пути, по которым вы его можете поймать.
6. Если же все-таки обнаружены факты попыток подбора паролей, оформляйте документально и заверяйте у своих руководителей акты и служебные записки, фиксируйте в технических журналах все факты, которые имеют отношение к попыткам. Особое внимание уделите синхронизации часов компьютеров, на которых ведутся различные файлы статистики. Если у вас на пять-семь минут расходятся показания часов на почте и сервер доступа в Интернет, могут возникнуть проблемы с доказательствами в суде.
Если удалось найти личность, которая вас тревожит, не торопитесь звонить ему и обещать, что у него будут неприятности. Лучше связаться с органами ФСБ и предложить сделать визит им, взяв санкцию у прокурора. Неплохо наносить визит во время сеанса связи с предварительным обесточиванием квартиры подозреваемого. После изъятия компьютера и магнитных носителей постарайтесь убедить следствие сделать подробнейшую опись содержимого магнитных носителей, привлекая независимых и квалифицированных экспертов. Постарайтесь также настоять, чтобы магнитные носители не были возвращены подозреваемому до окончания суда, даже если следствие вынесет определение по их содержанию. Решения принимает суд, а не следственные органы, в ходе судебного разбирательства выводы о деятельности подсудимого могут быть изменены на прямо противоположные и может потребоваться дополнительное следствие.
При оформлении документов для следствия и суда избегайте формулировок «возможно» «вероятно», «скорее всего». Все формулировки должны быть точными, однозначными и логически выдержанными. Не бойтесь сопровождать ваши выкладки графическими материалами, схемами и таблицами. На слух читаемый в суде текст воспринимается примерно двадцать минут, после этого смысл начинает теряться. Помните, что чем понятнее будут ваши рассуждения, тем больше доверия они будут вызывать у суда. Постарайтесь избегать специальных терминов типа «роутер», «верификация», «аккаунт», заменяйте их русскими эквивалентами «маршрутизатор», «проверка», «учетное имя». Не называйте одно и то же понятие разными терминами, это сильно путает непрофессионалов. Старайтесь сделать все, чтобы суд вас понимал и видел, что вами движет желание восстановить истину, а не отомстить обидчику. Ни в коем случае не допускайте даже намека на оскорбление подсудимого, защиты или, тем более, суда. Даже фраза «вы не понимаете», произнесенная несколько раз, может быть истолкована двояко.
Постарайтесь, чтобы на процессе в качестве истца вас представлял и администратор, и технический специалист. Только истец имеет право задавать вопросы обвиняемому, защите, обращаться с просьбами к суду в ходе процесса, свидетели лишены такого права. Самое главное, набраться терпения и постараться избавиться от эмоций, они мешают логике, и слушать, слушать, слушать....
Last-modified: Fn, 2-Feb-98 15:43:57 GMT
ВЛАДИМИР ВАДИМОВИЧ
КРЫЛОВ
РАССЛЕДОВАНИЕ
ПРЕСТУПЛЕНИЙ
В СФЕРЕ
ИНФОРМАЦИИ
Редактор И.В. Краснослободцева
Художественно-технический редактор
3. С. Кондрашова
Корректор И.В. Капралова
Лицензия ЛР № 064714 от 22 августа 1996 года. Подписано в печать 26.08.УЯ. Бумага офс. № 1.
Формат 60 Х 88 1/16
Офсетная печать. Гарнитура Таймс.
Физ. печ. л. 15,5. Тираж 1000 экз.
Заказ № 5819
Издательство "Городец".
117192, г. Москва, Мичуринский пр-кт., д.8/29. Тел./факс (095) 939-92-84 Отпечатано в Производственно-издательском комбинате ВИНИТИ,
«все книги «к разделу «содержание Глав: 27 Главы: < 22. 23. 24. 25. 26. 27.