Приложение

Письмо г-на А. Исаева,

размещенное в INTERNET

 (без сокращений)

Date:5 Feb 1998

From:Alexandr Isaev (alex@sakhalinn.rn)

Organization; TTS

newsgroups: relcom.fido.ru.networks

В РОССИИ ОСУЖДЕН ПЕРВЫЙ ХАКЕР...

 ИЛИ

КАК ХАКЕРА ЛОВИЛИ

19-летнему студенту Южно-Сахалинского института экономики, права и информатики Сергею Гоярчуку, по­мимо нарушения ряда статей УК России, было инкрими­нировано нарушение трех законов Российской Федерации:

«Об информации, информатизации и защите информа­ции», «О правовой охране программ для электронных вы­числительных машин и баз данных», «О связи».

Наказания (за исключением штрафа) г-н Гоярчук так и не понесет: он попал под амнистию Госдумы РФ.

"Я Уголовный кодекс чту!" Остап Бендер.

19 января 1997 г. в Южно-Сахалинском городском суде завершилось слушание дела'по обвинению Юярчука Сергея в совершении противоправных действий, квалифицировав­шихся по Статье 30 «Подготовка к преступлению и поку­шение на преступление». Статье 272. «Неправомерный доступ к компьютерной информации» и Статье 273. «Со-

здание, использование и распространение вредоносных программ для ЭВМ» УХ РФ.

Гоярчук С.А. является студентом 3 курса Южно-Саха­линского института Коммерции, предпринимательства и информатики. Гоярчук С.А. являлся техническим специа­листом двух организаций, заключивших договора на услуги электронной почты и сети «Интернет». В связи с этим он имел доступ к нескольким компьютерам как в помещениях организаций, так и у себя дома, так как одна из организа­ций «передала ему один из компьютеров для ремонта кнопки питания».

При заключении договоров и в дальнейшем Гояр­чук С.А. проявлял большой интерес к особенностям рабо­ты электронной почты, возможностям доступа к ней через различные сети передачи данных и сценариям работы с почтой в каждом из случаев.

В мае 1997 г. Гоярчук С.А.. первоначально вручную, а впоследствии, используя скрипт к терминальной програм­ме «TELEX», пытался подобрать пароли к адресам пользо­вателей электронной почты.

Все попытки осуществлялись через номер общего поль­зования сети Х.25 «Спринт» в г. Южно-Сахалинске. В результате Гоярчуку удалось подобрать пароли к адресам некоторых абонентов.

Подбор проводился либо в выходные и праздничные дни, либо в ночное время. В ночь с 14 на 15 мая и в ночь с 15 на 16 мая техническим персоналом ТТСи ГТС Южно-Сахалинска были проведены мероприятия по определению телефонного номера, с которого работал.

В ходе дальнейших оперативных проверок было выясне­но, что это номер соседней квартиры, с хозяевами которой Гоярчук якобы договорился об использовании номера в ночное время.

Наблюдения за действиями Гоярчука продолжались до момента, пока он не разослал от имени ТТС некоторым пользователям электронной почты письма с просьбой со­общить все свои реквизиты, в том числе и учетные имена

сети «Интернет» с паролями. В письме в очень доброже­лательной форме излагалось о планируемых ТТС улучше­ниях сервиса, которые действительно готовились, и пред­лагалось сообщить свои данные для создания некой базы данных, которое почему-то было необходимо в связи с увеличением пропускной способности магистрального ка­нала связи.

Письмо было разослано с электронного адреса SAKHMAIL@CHAT.RU, который был зарегистрирован на сервере CHAT.RU. Найти владельцев этого сервера в Мос­кве, для того чтобы определить IP адреса, с которых выполнялось соединение по РОРЗ, не удалось не только нам, но и представителям ФСБ, которые вели следствие. Так что пользуйтесь услугами бесплатных почтовых серве­ров!

6 июня 1997 г. было проведено задержание Гоярчука С.А. у него на квартире, в ходе которого было изъято два компьютера и около 40 дискет. В ходе исследования компьютеров на личном компьютере Гоярчука была найде­на программа-скрипт SM_CRACK, электронные письма, адресованные одному из Южно-Сахалинских банков и коммерческой фирме, файл, содержащий текст письма, разосланного абонентам от имени ТТС.

В ходе следствия и в ходе судебного разбирательства Гоярчук С.А. давал очень путанные объяснения, суть которых сводилась к тому, что программу SM_CRACK он сам не составлял, а получил ее в ходе одного из CHAT сеансов от неизвестного ему пользователя SERGE. Влеко­мый юношеским любопытством, он запустил программу, но результатов ее на экране не увидел, поэтому решил исследовать ее дальше и оставил работать на ночь. Види­мо, любопытство было столь велико, что заставляло вклю­чать ее каждую ночь в течение двух недель, а по выходным любопытство просто распирало пытливого юношу, по­скольку программа работала и днем. В результате чего впоследствии внутригородской трафик Х.25 составил

1 750 000 руб., которые электронной почте пришлось оп­латить.

Факт наличия чужих электронных писем у себя на ком­пьютере Гоярчук также объяснял действием новой моди­фикации программы SM CRACK, также полученной им от неведомого абонента. Эта новая версия не только подби­рала пароли, но и осуществляла копирование содержимого почтового ящика на компьютер взломщика. Однако полу­ченные письма были составлены в начале мая, а модифи­кация появилась во второй его половине.

На этом действие мистических сил на Гоярчука не прекратилось. По его утверждениям, в конце мая он получил электронное письмо без адреса отправителя и заголовка, в котором предлагалось выполнить ряд команд. Безропотно выполнив их, он обнаружил, что настройка почтовой программы странно изменилась, однако, не при­дав этому значения, он «что-то сделал» и с его компьютера сообщение разошлось другим пользователям.

В действительности с адреса SAKHMAIL@CHAT.RU 30 мая в адрес одной из фирм, где работал Гоярчук С.А., было отправлено электронное письмо, текст, которого в точности совпадал с текстом, найденным у него на ком­пьютере в отдельном файле.

Кроме этого, интервал времени между получением письма от безымянного отправителя и событием «что-то сделал» составил более суток, а само событие «что-то сделал» произошло в 1 час 35 минут ночи. Именно в это время было сформировано письмо от абонента SAKHMAIL@CHAT.RU и зафиксирована активность иден­тификатора сети «Интернет», который 14 мая был зареги­стрирован Гоярчуком С.А., как представителем организа­ции потребителя услуг.

В ходе судебного разбирательства Гоярчук С.А. пытал­ся обосновать свои действия тем, что не понимал сути происходящих процессов и плохо разбирался в том, как работают компьютерные программы, которые он запускал. Однако по показаниям директора фирмы, в которой Гояр­чук С.А. в течение более чем года (!) бесплатно (!!!) проходил практику, он обучал продавцов и бухгалтеров фирмы работе с компьютерными программами. Заслушав обвиняемого и свидетелей, государственное обвинение указало на соответствие квалификации действий Гоярчу­ка С.А. предварительным следствием. И по совокупности просило суд применить наказание в виде лишения свободы сроком на три года со штрафом в размере 200 минималь­ных окладов. Однако, учитывая юный возраст подсудимо­го, положительные характеристики с мест работы и отсут­ствие судимостей, просило считать срок заключения услов­ным, установив испытательный срок 2 года.

Защита, указав на техническую сложность дела, отсутст­вие судебной практики подобного характера, личность под­судимого, а также помощь (?), которую подсудимый оказал следствию в ходе расследования, просил не применять к подсудимому статьи 30 и 272 УХ, и ограничить наказание штрафом в 200 минимальных окладов. Кроме этого, в качестве одного из аргументов защита приводила факт отсутствия каких-либо предупреждений по поводу проти­воправности действий подзащитного в договоре на оказа­ние услуг.

В результате суд пришел к решению признать Гоярчука С.А. виновным и применить меру наказания, предлагае­мую обвинением.

Неофициальная версия происходящего.

ПРОВАЙДЕР, БУДЬ БДИТЕЛЕН!

Действия лиц, подобных Гоярчуку, кроме прямого мате­риального ущерба, связанного с отказом организаций от оплаты графика, созданного своими пытливыми работни­ками, наносят и большой косвенный ущерб.

Во-первых, нужно достаточно много усилий квалифи­цированного технического персонала, для того чтобы об­наружить факты подбора паролей, отследить связь событий

по очень большим файлам статистики, определить место откуда действует взломщик.

Во-вторых, еще больше усилий требуется для изложе­ния всех фактов, связанных с фактами покушений на взлом в письменном виде в форме, доступной для следст­венных органов и суда. Например, для пояснения 20 страниц Актов об обнаружении фактов подбора паролей, написанных в ходе определения взломщика, потребовалось 60 страниц пояснений для следствия и суда. А техничес­кие специалисты далеко не все сильны в эпистолярном жанре. Любая же неточность, неясность и неполная опре­деленность используется защитой для того, чтобы поста­вить под сомнение правильность сделанных выводов. В-третьих, во время проведения следствия и до оглашения приговора суда запрещается разглашать ход следствия. Сроки следствия и суда довольно большие, слухи о том, что у провайдера какие-то проблемы, особенно в неболь­ших городах, расходятся быстро, что в условиях конкурен­ции также сказывается на коммерческой деятельности.

Для того чтобы быть готовым к подобным событиям, рискну предложить организациям, оказывающим услуги электронной почты и сетей передачи данных, несколько советов.

1. В обязательном порядке во всех приглашениях (поч­товых, FTP, при входе в сеть), если есть явное предложе­ние к вводу пароля, на своем национальном языке и на английском языке включите фразу о противозаконности действий лиц, подбирающих пароли.

2. Включите в договора фразу или раздел о конфиден­циальности. Например, «АБОНЕНТ сохраняет конфиден­циальность всей информации, предоставляемой провайде­ром при наличии перечня, что таковая информация явля­ется "конфиденциальной" или "патентованной". Инфор­мация будет ограничена тем кругом лиц, у которых есть в ней необходимость, при этом они будут извещены о харак­тере такой информации. К конфиденциальной информа­ции относятся все пароли, присвоенные реквизитам АБО­НЕНТА»

3. Если имеется техническая возможность, разрешите пользователям самостоятельно изменять свои пароли. Хло­поты, связанные с обучением по процедуре смены пароля, с лихвой окупятся временем, которое вы потратите, разби­раясь с пользователями по поводу сумм их счетов, их ночного графика и писем, якобы отправленных от их имени. Если возможности удаленно менять пароли нет, то ни в коем случае не изменяйте их по телефону. Пригла­шайте пользователей в офис и предлагайте СОБСТВЕН­НОРУЧНО заполнить заявку на смену пароля с указанием даты, фамилии и подписи меняющего пароль.

4. Постарайтесь изолировать помещение, в котором располагаются технологические компьютеры, от того поме­щения, где у вас работают с потребителями. Если вам удастся сертифицировать технологическое помещение по безопасности, к вам очень сложно будет предъявить пре­тензии по поводу утраты вами паролей абонентов.

5. Если пользователи активно интересуются вопросами своей безопасности, постарайтесь уделить им внимание. Не нужно убаюкивать их заявлениями, что у вас все в порядке, постарайтесь выяснить источник их беспокойст­ва. Это будет полезно и вам, и пользователь увидит, что вы о нем беспокоитесь. Если появилось подозрение, что пользователь вас «колет», тем более с ним надо общаться как можно чаще, ведь ему можно подсказать пути, по которым вы его можете поймать.

6. Если же все-таки обнаружены факты попыток подбо­ра паролей, оформляйте документально и заверяйте у своих руководителей акты и служебные записки, фиксируйте в технических журналах все факты, которые имеют отноше­ние к попыткам. Особое внимание уделите синхронизации часов компьютеров, на которых ведутся различные файлы статистики. Если у вас на пять-семь минут расходятся показания часов на почте и сервер доступа в Интернет, могут возникнуть проблемы с доказательствами в суде.

Если удалось найти личность, которая вас тревожит, не торопитесь звонить ему и обещать, что у него будут непри­ятности. Лучше связаться с органами ФСБ и предложить сделать визит им, взяв санкцию у прокурора. Неплохо наносить визит во время сеанса связи с предварительным обесточиванием квартиры подозреваемого. После изъятия компьютера и магнитных носителей постарайтесь убедить следствие сделать подробнейшую опись содержимого маг­нитных носителей, привлекая независимых и квалифици­рованных экспертов. Постарайтесь также настоять, чтобы магнитные носители не были возвращены подозреваемому до окончания суда, даже если следствие вынесет определе­ние по их содержанию. Решения принимает суд, а не следственные органы, в ходе судебного разбирательства выводы о деятельности подсудимого могут быть изменены на прямо противоположные и может потребоваться допол­нительное следствие.

При оформлении документов для следствия и суда избе­гайте формулировок «возможно» «вероятно», «скорее всего». Все формулировки должны быть точными, одно­значными и логически выдержанными. Не бойтесь сопро­вождать ваши выкладки графическими материалами, схе­мами и таблицами. На слух читаемый в суде текст воспри­нимается примерно двадцать минут, после этого смысл начинает теряться. Помните, что чем понятнее будут ваши рассуждения, тем больше доверия они будут вызывать у суда. Постарайтесь избегать специальных терминов типа «роутер», «верификация», «аккаунт», заменяйте их русски­ми эквивалентами «маршрутизатор», «проверка», «учетное имя». Не называйте одно и то же понятие разными терми­нами, это сильно путает непрофессионалов. Старайтесь сделать все, чтобы суд вас понимал и видел, что вами движет желание восстановить истину, а не отомстить обид­чику. Ни в коем случае не допускайте даже намека на оскорбление подсудимого, защиты или, тем более, суда. Даже фраза «вы не понимаете», произнесенная несколько раз, может быть истолкована двояко.

Постарайтесь, чтобы на процессе в качестве истца вас представлял и администратор, и технический специалист. Только истец имеет право задавать вопросы обвиняемому, защите, обращаться с просьбами к суду в ходе процесса, свидетели лишены такого права. Самое главное, набраться терпения и постараться избавиться от эмоций, они мешают логике, и слушать, слушать, слушать....

Last-modified: Fn, 2-Feb-98 15:43:57 GMT

ВЛАДИМИР ВАДИМОВИЧ

КРЫЛОВ

РАССЛЕДОВАНИЕ

ПРЕСТУПЛЕНИЙ

 В СФЕРЕ

ИНФОРМАЦИИ

Редактор И.В. Краснослободцева

Художественно-технический редактор

3. С. Кондрашова

Корректор И.В. Капралова

Лицензия ЛР № 064714 от 22 августа 1996 года. Подписано в печать 26.08.УЯ. Бумага офс. № 1.

 Формат 60 Х 88 1/16

Офсетная печать. Гарнитура Таймс.

Физ. печ. л. 15,5. Тираж 1000 экз.

Заказ № 5819

Издательство "Городец".

117192, г. Москва, Мичуринский пр-кт., д.8/29. Тел./факс (095) 939-92-84 Отпечатано в Производственно-издательском комбинате ВИНИТИ,