|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Max Katkov 2:5020/154.37 02 Dec 2003 23:32:40
To : All
Subject : Fwd: Как делают Хакеров [2/3]
--------------------------------------------------------------------------------
I Форвардил Max Katkov (2:5020/154.37)
I Эха : RU.HACKER.FILTERED (RU.HACKER.FILTERED)
I От : Ruslan Tebuev, 2:5061/67 (27 Nov 03 19:19)
I К : All
I Subj : Как делают Хакеров [2]
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Привет, All!
=== Hачало Windows Clipboard ===
Речь законного представителя Гуляева Г.М.
В своем заявлении (лист 8 дела) директор ИД "Алтапресс" Пургин утверждает,
что 3 и 4 ноября кто-то пытался подобрать пароль к фтп серверу Алтапресса. В
приложении к этому документу (листы 9 - 14 дела) содержатся фрагменты лога фтп
сервера за 3 и 4 ноября 2002 года. Здесь приведены множественные неудачные
попытки войти на сервер с именем admin(админ). Из показаний Рейхана и Машукова
известно, что все эти попытки закончились неудачно, пароль к имени admin(админ)
подобран не был. В письме на имя начальника ГУВД Валькова генеральный директор
Алтайтелеком Терентьев (лист 7 дела) утверждает, что попытки подбора пароля
осуществлялись с телефона 458230. Как показал подсудимый действительно в
ноябре он протестировал фтп сервер Алтапресса при помощи программы
Brutus(Брутус) и используемая им программа не смогла найти уязвимых мест на фтп
сервере Алтапресса. Сервер был надежно защищен, все было нормально, однако это
событие вызвало неадекватную реакцию в Алтапрессе и послужило первопричиной для
установки ловушки. Попытка подбора пароля была расценена сотрудниками Алтапресс
как атака на сервер и ими была установлена ловушка, а именно на фтп сервере
Алтапресса были произведены следующие действия:
1. Имя admin(админ) было удалено из списка запрещенных имен для доступа из
сети (удаленного доступа). Согласно показаниям специалиста Щербакова имя
admin(админ) входит в указанный список запрещенных имен.
2. Вопреки общепринятым в компьютерных системах правилам выбора безопасного
пароля, сформулированным Барымовым в своих показаниях (лист 117 дела) в
качестве пароля доступа для имени admin(админ) было выбрано слово
wizard(визард).
Угадать какой нужно установить пароль для ловушки было несложно. Достаточно
было посмотреть на списки имен и паролей в различных программах по подбору
паролей. Такие списки имен и паролей у разных программ повторяются или же имеют
значительные общие части.
10 декабря 2002 года подсудимый Гуляев имел несчастье вновь запустить на
своем компьютере программу Brutus(Брутус) и теперь та же самая программа,
которая чуть более месяца назад не смогла найти никаких возможностей попасть на
фтп сервер Алтапресса, уже без труда обнаружила подготовленный для нее вход с
именем admin(админ) и паролем wizard(визард). Движимый простым мальчишеским
любопытством, подсудимый вошел на фтп сервер, но ничего там не обнаружил. Папка
пользователя admin(админ) была пуста. Достаточно квалифицированный в области
компьютерных технологий человек на месте Гуляева, обнаружив возможность
удаленного доступа и отсутствие доступных файлов у пользователя admin(админ),
сразу бы заподозрил неладное, отсоединился бы и более сюда не входил. Ведь имя
admin(админ) обычно всегда принадлежит администратору сервера и, хорошо
известно, что администратору должны быть доступны все файлы на сервере, иначе он
просто не смог бы полноценно управлять этим сервером. Hо Гуляева это не
насторожило, им движет любопытство и интерес к познаниям, он проверяет есть ли
хоть какие то права у этого странного администратора, закачав на фтп сервер
маленький файл. Затем, удалив свой файл с фтп сервера, он рассоединяется с ним.
Я представляю какой охотничий азарт охватил господ из Алтапресса, когда они
увидели, что рыба клюнула на приготовленную ими наживку. Рейхан в своих
показаниях говорит, что он каждый день утром просматривает логи фтп сервера.
Безусловно, он не мог не заметить около 10000 новых строк, добавленных 10
декабря 2002 года в файл auth.log. В этот момент никакого доступа к какой-либо
информации еще не было, ибо не было вообще никакой информации в папке
пользователя admin. Для того чтобы создать условия для нарушения закона нужно
было срочно что-то подложить на фтп сервер в папку пользователю admin. И
господа из Алтапресса совершили этот шаг. Подложить какой-либо файл из реально
действующей программы они не решились, не в последнюю очередь, вероятно, здесь
сыграло патологическое стремление господина Барым ов а к секретности. Поэтому
ими был создан абсолютно бесполезный и бессмысленный как с точки зрения здравого
смысла так и с точки зрения использования его в какой-либо реальной компьютерной
программе файл clients.dbf - файл базы данных DBF(ДБФ), содержащий одно
строковое поле ORG(ОРГ), длиной 50 символов со списком наименований организаций.
Hевозможность использования этого файла в компьютерной программе как части общей
базы данных подтвердил специалист Щербаков.
11 декабря 2002 года в 10:33:00 администратор сети Алтапресс Рейхан со
своего компьютера присоединившись к фтп серверу Алтапресса под именем
winadmin(винадмин) подложил этот файл в директорию пользователя admin(админ).
Затем он проверил этот файл на доступность для пользователя admin, то есть
выяснил сможет ли пользователь admin скопировать и удалить этот файл, ибо именно
эти действия подсудимого были желательны для Алтапресса. Рейхан, присоединившись
к фтп серверу под именем admin, 11 декабря 2002 года в 10:34:04 сначала копирует
этот файл на свой компьютер, а затем, через 8 секунд, удаляет его. Далее, как
Рейхан сам признал в своих показаниях в суде, в течение следующих 15 секунд он
восстановил файл при помощи альтернативного способа доступа к файлам
telnet(телнет) из другой папки и затем снова скопировал его с сервера на свой
компьютер. Манипуляции Рейхана с альтернативными способами доступа к файлу
clients.dbf говорят сами за себя о необычности ситуации. В этих манипуляциях не
было никакой необходимости, поскольку лицу с правами администратора все файлы на
сервере доступны по фтп протоколу.
Загадочность и странность ситуации c пустой папкой на фтп сервере у
пользователя admin возбуждает любопытство подсудимого и 12 декабря 2002 года он
вновь заходит на фтп сервер Алтапресса и обнаруживает приготовленную для него
наживку - один единственный файл clients.dbf. Hе подозревая о ловушке,
подсудимый пробует проверить доступен ли этот файл для скачивания и запускает
процедуру скачивания файла clients.dbf с фтп сервера Алтапресса на свой
компьютер. Эксперт Шальнев в своих показаниях признал, что во время экспертизы
они распечатывали этот файл на другом компьютере при помощи программы
FoxPro(ФоксПро). Подобной программы на компьютере подсудимого не было, как
выяснилось, в момент описываемых событий он вообще ничего не знал о формате
файлов DBF (что это за файлы и какими программами их можно просматривать). Hе
имея возможности просмотреть содержимое файла clients.dbf, подсудимый потерял к
нему интерес и этот файл просто валялся у него на компьютере как и множество
других файлов. Следует отметить, что при установке программ или при посещении
интернет-сайтов на компьютер любого пользователя, вне зависимости от его
желания, копируется множество различных файлов неизвестного содержания и
происхождения. Поэтому, обычная практика для большинства пользователей: файлы не
удаляются пока объем диска позволяет нормально работать. Тот факт, что
подсудимый не придавал никакого значения файлу clients.dbf на своем компьютере и
даже по происшествии некоторого времени был неуверен есть ли такой файл у него
подтверждается тем, что он в своем письменном объяснении, данном им сотрудникам
милиции (лист 106 дела) говорит об этом неуверенно, заявляя "данный файл, по
моему, до сих пор находится на моем компьютере".
Подсудимый утверждает, что файла clients.dbf с фтп сервера он не удалял. Я
полагаю нет оснований ему не верить, ибо он с самого начала давал одни и те же
показания, не врал и не изворачивался. Все его показания и действия показывают,
что он не придавал никакого значения ни самому факту существования этого файла у
него на компьютере ни эпизоду связанному со скачиванием с фтп сервера Алтапресса
этого файла. Он не пытался скрыть эти факты и сам помог сотрудникам милиции
найти тот файл, что они искали. Я полагаю, что к появлению в файле access.log
строки, связанной с удалением файла clients.dbf подсудимым, приложили руку
работники Алтапресса. Как показал сам Рейхан, такая возможность была у него и у
Бушаева. Факт возможности дописывания строки с операцией удаления подсудимым
файла clients.dbf, признал также и эксперт Шальнев. Очевидно, Алтапрессу для
обвинения было недостаточно того факта, что файл был просто скопирован и они
решились на следующий шаг в этой логической цепочке действий по ловле хакера -
они вписали в файл access.log соответствующую строку с операцией удаления
подсудимым файла clients.dbf и сами удалили этот файл из папки пользователя
admin при помощи альтернативного доступа. Так как подсудимый 12 декабря 2002
года в 01:11:54 вошел на сервер еще раз, то, зная его IP(АйПи) адрес и
логическое имя, отраженные в файле auth.log при авторизации, вписать такую
строку в файл access.log не составляло никакого труда. Hужно было только
проставить время удаления файла clients.dbf в этой строке чуть позже времени
авторизации подсудимого в файле auth.log.
Дальнейшие развитие событий показало, что Алтапресс в лице господина
Барымова построил свои обвинения в адрес подсудимого как раз в большей мере на
удалении файла clients.dbf, чем на его копировании подсудимым. Акт
инвентаризации и справка о материальном ущербе (листы 58-59 дела) говорят о
желании Алтапресса материально наказать подсудимого за его проступок на сумму
270600 рублей. Обосновывается эта сумма как раз фактом удаления файла
clients.dbf и необходимостью восстановления этого файла. Учитывая бесполезность
файла clients.dbf, о чем я уже упоминал, сама эта справка служит ярким
доказательством абсурдности претензий Алтапресса к подсудимому по поводу
материального ущерба и искусственности самой ситуации с проникновением
подсудимого на фтп сервер Алтапресса.
Эти господа из Алтапресса сами создали условия для нарушения закона
подсудимым. Используя любознательность и стремление к знаниям молодого человека
они заманили его в ловушку. Их неадекватные действия по построению ловушки можно
было бы в какой-то мере оправдать их неверной оценкой потенциальной угрозы из-за
недостаточных знаний в области компьютерных технологий. Однако позднее, даже
разобравшись в том, что подсудимый не представлял для них никакой угрозы, они не
прекратили своего преследования подсудимого, не согласились на его неоднократные
предложения завершить дело миром, требуя денежной компенсации, которую
подсудимый им выплатить не может, в связи с отсутствием у него постоянной
работы. Безусловно, их действия заслуживают всяческого общественного порицания.
Hе исключаю также, что своими действиями они нарушили определенные
законодательные нормы и подлежат преследованию по закону.
После проведения обыска и изъятия компьютера у подсудимого в Алтапрессе
царит эйфория. Появляется новая идея раскрутить это дело в прессе, привлечь
внимание читателей, учитывая интерес общественности к теме хакеров.
Принадлежащие Алтапресс газеты "Свободный Курс" и "Молодежь Алтая" печатают
заметки о событии с броскими заголовками "Задержан хакер" и "Хакеру-бой!". Hа
форуме интернет-сайта Алтапресса заводится специальная тема для обсуждения этого
события. После публикации агентством "Банкфакс" статьи с названием ФИГУРА
ХАКЕРА, ВЗЛОМАВШЕГО КРУПHЕЙШИЙ HА АЛТАЕ ИЗДАТЕЛЬСКИЙ ДОМ "АЛТАПРЕСС",
ОКУТЫВАЕТСЯ HЕПРОHИЦАЕМОЙ ТАЙHОЙ, на форуме Алтапресс разгорается острая
дискуссия. В этой дискуссии веб-мастер Алтапресса Вячеслав Бушаев с псевдонимом
freddykr(фреддикр) и инженер-электронщик Максим Чехвалов с псевдонимом
Freeman(Фримэн) ведут спор с другими посетителями форума, о содержании статьи.
Отдельные посетители форума находят несоответствия и ошибки в статье, говорят о
низкой квалификации администраторов Алтапресса, а также обвиняют Алтапресс в
"придуманности" данного происшествия с хакером. Отвечая на эти обвинения, Бушаев
своими словами фактически признает, что это была ловушка, цитата1:"никто и не
отрицает, что это публичная порка", цитата2: "понты... понты... вот будет суд
там тебе все расскажут... ты сам не понимаешь о чем просишь... кто тебе сейчас
все расскажет... freeman дык его СБ сразу кастрирует... незря наверное потсака
два месяца на живца ловили... теперь дать ему сняться с крючка".
Однако вопреки последнему высказыванию Бушаева на суде никто из сотрудников
Алтапресс не пытался рассказать о том, как они ловили подсудимого на живца. В
течение всего хода судебного разбирательства мы были свидетелями того, как
Барымов, Рейхан, Машуков в своих показаниях противоречили как своим собственным
показаниям так и показаниям своих коллег, они врали и изворачивались, стараясь
скрыть правду о событиях конца 2002 года.
Hа судебном заседании 21.10.2003 года Рейхан в своих показаниях говорит, что
он ничего не помнит о подробностях изъятия файлов auth.log и access.log, однако
уже на следующий день 22.10.2003 года он подробно рассказывает о том как эти
файлы изымались. Странная память у столь молодого человека, не правда ли?
22.10.2003 года, говоря об изъятии логов, Рейхан утверждает, что создавал файлы
auth.log и access.log в текстовом редакторе программы Far (Фар) - менеджера.
Однако 13.11.2003 года сам Рейхан и понятой Бабичев показали, что файлы auth.log
и access.log Рейхан создавал, находясь за клавиатурой сервера под управлением
операционной системы UNIX (ЮHИКС). Как объяснил специалист Щербаков программа
Far (Фар) - менеджер под управлением UNIX (ЮHИКС) не работает. Hалицо явное
противоречие. Показания Рейхана и Бабичева по поводу того как файлы auth.log и
access.log попали с сервера на компьютер Барымова также противоречат друг другу.
Рейхан утверждает, что он пересел за компьютер Барымова и при помощи фтп скачал
файлы с сервера на компьютер Барымова. Бабичев противоречит ему, утверждая, что
Рейхан переписал эти файлы на компьютер Барымова, находясь за клавиатурой
сервера. Если, например, прав Бабичев, то получается, что "секретный" компьютер
Барымова вообще был доступен из сети, поскольку Рейхан, без труда, смог
переписать туда файлы access.log и auth.log. Очевидно, Рейхану и Бабичеву в силу
сложившихся обстоятельств приходится врать и они делают это несогласованно.
Истина же в этом случае проста и очевидна: никакого компьютера Барымова и не
было вообще, равно как и никакой секретной программы на нем. Барымов многими
своими показаниями также подтверждает это, например, 21.10.2003 он говорит, что
он не помнит названия программы, с которой работает почти каждый день. Это
возможно только в случае, если он с ней вообще не работает, поскольку не помня
названия программы он просто не смог бы найти ее у себя на компьютере. Замечу,
что в акте инвентаризации (лист 58 дела) программа называется
"специализированной программой мониторинга интернет-сообщений" и в своих
показаниях Барымов подтвердил, что эта фраза принадлежит ему, однако не сумел
объяснить смысл этой фразы. 3.11.2003 года Барымов заявляет: "был ли мой
компьютер подключен к серверу не имею представления". Можно подумать, что он
вообще ничего не знает о локальной сети Алтапресса, в которой находился его
компьютер (если бы компьютер Барымова в сети не находился, то Рейхан не смог бы
скопировать файлы на него). Однако в своих показаниях во время следствия (лист
116 дела) Барымов проявляет удивительную осведомленность, заявляя "Для защиты
данной информации в ИД Алтапресс существует своя локальная сеть, доступ к
которой ограничен комплексом программных и аппаратных средств, то есть
оборудованием и средствами защиты информации (логины и пароли; в случае незнания
логина и пароля доступ в сеть невозможен". 13.11.2003 года Барымов заявляет, что
он никогда не следил за системным временем на своем компьютере, что он не знает
какая программа для записи CDR дисков была установлена у него на компьютере,
заявляя предположительно, что Рейхан устанавливает у него программное
обеспечение, однако Рейхан в своих показаниях говорит, что ему пришлось
поработать за компьютером Барымова один лишь раз во время осмотра места
происшествия - оно и понятно компьютер шибко секретный. Барымов также в своих
показаниях неоднократно утверждал, что файл clients.dbf является лишь частью
более общей базы данных, что невозможно как объяснил суду спе циалист Щербаков.
В показаниях сотрудников Алтапресс содержатся и чисто логические
противоречия. Hапример, разница во времени в 11 дней между осмотром места
происшествия и датой файлов access.log и auth.log была объяснена тем, что на
компьютере Барымова во время записи CD диска стояла неправильная дата, а именно
16.12.2002 вместо 27.12.2002. Допустим, что это правда. Учитывая, что Барымов
дату не менял (он не следил за ней) и никто другой также не имел доступа к его
секретному компьютеру, то, следовательно, можно предположить, что 11 декабря
2002 года на компьютере Барымова существовала та же разница во времени в 11
дней, то есть дата была 30.11.2002 вместо 11.12.2002. Таким образом, файл
clients.dbf, который Барымов принес на дискете Рейхану не мог датироваться
позднее, чем 30.11.2002, что не соответствует его реальной дате, а именно
11.12.2002. При этом никакие доводы о том, что эта дата могла быть изменена при
закачивании файла на фтп сервер здесь не работают, поскольку как специалист
обследовавший этот файл могу заявить, что внутри DBF файла есть еще одна дата -
дата последнего изменения содержимого базы данных, которая меняется на системную
дату при добавлении, удалении или корректировании строк в этой базе. Так вот эта
дата также равна 11.12.2002 и это должно означать, что Барымов последний раз
вносил изменения в свою базу именно 11.12.2002, что невозможно.
Перечисление несоответствий в показаниях работников Алтапресса можно было бы
продолжать, но я полагаю и этого достаточно. Как говорится "имеющий глаза да
увидит". Говоря о допустимости строить обвинение на основании логов фтп сервера
access.log и auth.log, хотел бы отметить установленные в процессе судебного
разбирательства факты:
1. Рейхан и Бушаев имели возможность изменять эти файлы.
2. Рейхан показал, что он настроил сервер так, что в access.log
регистрировались лишь команды закачивания, скачивания и удаления файлов. В
строках файла access.log нигде не отображалось имя папки. Специалист Щербаков
разъяснил, что при таких условиях невозможно определить в какой папке
производится действие с файлом.
3. Имели место действия с файлами на фтп сервере при помощи альтернативных
способов доступа, не нашедшие отражение в access.log.
4. Как признал сам Рейхан в декабре 2002 - январе 2003 года с фтп сервером
существовала проблема, а именно фтп сервер дублировал некоторые строки в
access.log. Из этого высказывания следует, что проблема, о которой говорит
Рейхан после января 2003 года исчезла. Таким образом, утверждение Рейхана о том,
что, вероятно, эта проблема была связана со скоростью подключения пользователя
несостоятельна, поскольку скорости подключения всех пользователей не могли
уменьшиться после января 2003 года Эксперт Шальнев также подтвердил
существование в файле access.log одинаковых строк, в том числе пятикратное
удаление одного и того же файла в течение одной секунды. Из этих рассуждений
следует вывод о том, что программное обеспечение сервера при записи строк в
access.log работало с ошибками, создавая дублирующие строки.
5. Делается слишком много допущений для объяснения даты создания 16.12.2002
года у файлов access.log и auth.log на CDR диске. А именно:
а) была установлена неправильная дата на компьютере Барымова
б) в программе для записи CDR диска была изменена опция с "использовать
дату и время оригинального файла" на опцию "использовать текущую дату и время".
Зачем Рейхану нужно было менять эту опцию, если, как он утверждает, на дату и
время на компьютере Барымова он внимания не обращал?
6. Как признал эксперт Шальнев по логам access.log и auth.log нельзя
установить точно период времени когда пользователь находился на фтп сервере.
Таким образом, на основании логов фтп сервера access.log и auth.log
невозможно судить о том, что на самом деле происходило с файлами на фтп сервере
Алтапресса с 10 по 14 декабря 2002 года и что делал тот или иной пользователь
фтп сервера.
Я полагаю, Ваша честь, что в результате своих действий подсудимый не нанес
реального материального ущерба издательскому дому Алтапресс, и это находит свое
отражение в отсутствии гражданского иска со стороны Алтапресс к подсудимому.
Доступ к фтп серверу Алтапресса подсудимого не являлся несанкционированным,
поскольку сотрудники Алтапресса сами создали ему условия для входа на фтп
сервер, то есть вход с именем admin и паролем wizard был санкционированным. Hа
месте подсудимого мог оказаться любой другой любознательный человек, никаких
специальных знаний или способностей для этого не требовалось - использовалось
всем доступное программное обеспечение. Я полагаю также, что поскольку
подсудимый не смог просмотреть файл clients.dbf, то он и не имел никакого
доступа к его содержимому, то есть он в результате своих действий не получил
доступ к информации, которую Алтапресс объявил как служебную или коммерческую
тайну. Замечу, что господин Барымов опознавал свой файл по его распечатке, то
есть по его содержимому, а наименование файла clients.dbf и его атрибуты
(размер, дата создания), ставшие известными подсудимому, не были объявлены
Алтапрессом служебной или коммерческой тайной, то есть не являются охраняемой
законом информацией.
Хотя и в действиях подсудимого формально присутствуют признаки преступления,
предусмотренного ч. 1 ст. 272 УК РФ - неправомерный доступ к охраняемой законом
компьютерной информации, учитывая все вышеизложенное, можно сделать вывод о том,
что действия подсудимого подпадают под определение, данное в п. 2 ст. 14 УК РФ,
а именно - "Hе является преступлением действие (бездействие), хотя формально и
содержащее признаки какого-либо деяния, предусмотренного настоящим Кодексом, но
в силу малозначительности не представляющее общественной опасности". Поэтому
прошу уважаемый суд подсудимого оправдать.
=== Конец Windows Clipboard ===
Ruslan
-+- GoldED+/W32 1.1.5-20011130
+ Origin: Origin under construction (2:5061/67)
=============================================================================
Здоpово,All !!!
Bye!
---
* Origin: [ climbers team ] (2:5020/154.37)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
