>-----Original Message-----
>From: Rudnev Aleksei <alex@newcom.kiae.su>
>Newsgroups: relcom.fido.ru.networks,relcom.postmasters.d
>Date: 6 февраля 1998 г. 13:48
>Subject: Re: В России осужден первый хакер... или как хакера ловили
>
>
>>Я за-кроспосстил, очень знамменательное сообщение.
>>
>>
>>In <6bcarq$hb4@www.sakhalin.ru> "Alexandr Isaev" <alex@sakhalin.ru>
writes:
>>
>>
>>><Я Уголовный кодекс чту!>
>>>Остап Бендер.
>>
>>>19 января 1997 г. в Южно-Сахалинском городском суде завершилось слушание
>>>дела по обвинению Гоярчука Сергея в совершении противоправных действий,
>>>квалифицировавшихся по Статье 30 <Подготовка к преступлению и покушение
на
>>>преступление>, Статье 272. <Неправомерный доступ к компьютерной
>информации>
>>>и
>>>Статье 273. <Создание, использование и распространение вредоносных
>программ
>>>для
>>>ЭВМ> УК РФ.
>>>Гоярчук С.А. является студентом 3 курса Южно-Сахалинского института
>>>Коммерции, предпринимательства и информатики.
>>>Гоярчук С.А. являлся техническим специалистом двух организаций,
>заключивших
>>>договора на услуги электронной почты и сети <Интернет>. В связи с этим он
>>>имел доступ
>>>к нескольким компьютерам, как в помещениях организаций, так и у себя
дома,
>>>т.к. одна
>>>из организаций <передала ему один из компьютеров для ремонта кнопки
>>>питания>.
>>>При заключении договоров и в дальнейшем Гоярчук С.А. проявлял большой
>>>интерес к особенностям работы электронной почты, возможностям доступа к
>ней
>>>через
>>>различные сети передачи данных и сценариям работы с почтой в каждом из
>>>случаев.
>>>В мае 1997 г. Гоярчук С.А., первоначально вручную, а в последствии
>>>используя
>>>скрипт к терминальной программе <TELEX>, пытался подобрать пароли к
>адресам
>>>пользователей электронной почты.
>>>Все попытки осуществлялись через номер общего пользования сети Х.25
>>><Спринт> в г.Южно-Сахалинске. В результате Гоярчуку удалось подобрать
>пароли
>>>к
>>>адресам некоторых абонентов.
>>>Подбор проводился либо в выходные и праздничные дни, либо в ночное время.
>В
>>>ночь с 14 на 15 мая и в ночь с 15 на 16 мая техническим персоналом ТТС и
>ГТС
>>>Южно-
>>>Сахалинска были проведены мероприятия по определению телефонного номера,
с
>>>которого работал
>>>В ходе дальнейших оперативных проверок было выяснено, что это номер
>>>соседней квартиры, с хозяевами которой Гоярчук якобы договорился об
>>>использовании
>>>номера в ночное время.
>>>Наблюдения за действиями Гоярчука продолжались до момента, пока он не
>>>разослал от имени ТТС некоторым пользователям электронной почты письма с
>>>просьбой
>>>сообщить все свои реквизиты, в том числе и учетные имена сети <Интернет>
с
>>>паролями.
>>>В письме в очень доброжелательной форме излагалось о планируемых ТТС
>>>улучшениях
>>>сервиса, которые действительно готовились, и предлагалось сообщить свои
>>>данные для
>>>создания некой базы данных, которое почему-то было необходимо в связи с
>>>увеличением
>>>пропускной способности магистрального канала связи
>>>Письмо было разослано с электронного адреса SAKHMAIL@CHAT.RU, который был
>>>зарегистрирован на сервере CHAT.RU. Найти владельцев этого сервера в
>Москве,
>>>для
>>>того чтобы определить IP адреса, с которых выполнялось соединение по
POP3,
>>>не
>>>удалось не только нам, но и представителям ФСБ, которые вели следствие.
>Так
>>>что
>>>пользуйтесь услугами бесплатных почтовых серверов!
>>>6 июня 1997г. было проведено задержание Гоярчука С.А. у него на квартире,
>в
>>>ходе которого было изъято два компьютера и около 40 дискет. В ходе
>>>исследования
>>>компьютеров на личном компьютере Гоярчука была найдена программа-скрипт
>>>SM_CRACK, электронные письма, адресованные одному из Южно-Сахалинских
>банков
>>>и коммерческой фирме, файл, содержащий текст письма, разосланного
>абонентам
>>>от
>>>имени ТТС.
>>>В ходе следствия, и в ходе судебного разбирательства Гоярчук С.А. давал
>>>очень
>>>путанные объяснения, суть которых сводилась к тому, что программу
SM_CRACK
>>>он
>>>сам не составлял, а получил ее в ходе одного из CHAT сеансов он
>неизвестного
>>>ему
>>>пользователя SERGE. Влекомый юношеским любопытством, он запустил
>программу,
>>>не
>>>результатов ее на экране не увидел, поэтому решил исследовать ее дальше и
>>>оставил
>>>работать на ночь. Видимо, любопытство было столь велико, что заставляло
>>>включать ее
>>>каждую ночь в течении двух недель, а по выходным любопытство просто
>>>распирало
>>>пытливого юношу, поскольку программа работа и днем. В результате чего в
>>>последствии
>>>внутригородской трафик Х.25 составил 1 750 000 руб, которые электронной
>>>почте
>>>пришлось оплатить.
>>>Факт наличия чужих электронных писем у себя на компьютере Гоярчук так же
>>>объяснял действием новой модификации программы SM_CRACK, так же
полученной
>>>им
>>>от неведомого абонента. Эта новая версия не только подбирала пароли, но и
>>>осуществляла копирование содержимого почтового ящика на компьютер
>взломщика.
>>>Однако полученные письма были составлены в начале мая, а модификация
>>>появилась во
>>>второй его половине.
>>>На этом действие мистических сил на Гоярчука не прекратилось. По его
>>>утверждениям в конце мая он получил электронное письмо без адреса
>>>отправителя и
>>>заголовка, в котором предлагалось выполнить ряд команд. Безропотно
>выполнив
>>>их, он
>>>обнаружил, что настройка почтовой программы странно изменилась, однако,
не
>>>придав
>>>этому значения, он <что-то сделал> и с его компьютера сообщение разошлось
>>>другим
>>>пользователям.
>>>В действительности с адреса SAKHMAIL@CHAT.RU 30 мая в адрес одной из
>>>фирм, где работал Гоярчук С.А. было отправлено электронное письмо, текст,
>>>которого в
>>>точности совпадал с текстом, найденным у него на компьютере в отдельном
>>>файле.
>>>Кроме этого интервал времени между получением письма от безымянного
>>>отправителя и событием <что-то сделал> составил более суток, а само
>событие
>>><что-то
>>>сделал> произошло в 1 час 35 минут ночи. Именно в это время было
>>>сформировано
>>>письмо от абонент SAKHMAIL@CHAT.RU и зафиксирована активность
>идентификатора
>>>сети <Интернет>, который 14 мая был зарегистрирован Гоярчуком С.А., как
>>>представителем организации потребителя услуг.
>>>В ходе судебного разбирательства Гоярчук С.А. пытался обосновать свои
>>>действия тем, что не понимал сути происходящих процессов и плохо
>разбирался
>>>в том,
>>>как работают компьютерные программы, которые он запускал. Однако по
>>>показаниям
>>>директора фирмы, в которой Гоярчук С.А. в течении более чем года (!)
>>>бесплатно (!!!)
>>>проходил практику, он обучал продавцов и бухгалтеров фирмы работе с
>>>компьютерными
>>>программами.
>>>Заслушав обвиняемого и свидетелей, государственное обвинение указало на
>>>соответствие квалификации действий Гоярчука С.А. предварительным
>следствием.
>>>И по
>>>совокупности просило суд применить наказание в виде лишения свободы
сроком
>>>на три
>>>года со штрафом в размере 200 минимальных окладов. Однако учитывая юный
>>>возраст
>>>подсудимого, положительные характеристики с мест работы и отсутствие
>>>судимостей,
>>>просило считать срок заключения условным, установив испытательный срок 2
>>>года.
>>>Защита, указав на техническую сложность дела, отсутствие судебной
практики
>>>подобного характера, личность подсудимого, а так же помощь (?), которую
>>>подсудимый
>>>оказал следствию в ходе расследования, просил не применять к подсудимому
>>>статьи 30 и
>>>272 УК, и ограничить наказание штрафом в 200 минимальных окладов. Кроме
>>>этого, в
>>>качестве одного из аргументов защита приводила факт отсутствия каких-либо
>>>предупреждений по поводу противоправности действий подзащитного в
договоре
>>>на
>>>оказание услуг.
>>>В результате суд пришел к решению признать Горчука С.А. виновным и
>применить
>>>меру
>>>наказания, предлагаемую обвенением.
>>
>>>Неофициальная версия происходящего.
>>>ПРОВАЙДЕР, БУДЬ БДИТЕЛЕН!
>>>Действия лиц, подобных Гоярчуку, кроме прямого материального ущерба,
>>>связанного с отказом организаций от оплаты трафика, созданного своими
>>>пытливыми
>>>работниками, наносят и большой косвенный ущерб.
>>>Во-первых, нужно достаточно много усилий квалифицированного технического
>>>персонала, для того чтобы обнаружить факты подбора паролей, отследить
>связь
>>>событий
>>>по очень большим файлам статистики, определить место откуда действует
>>>взломщик.
>>>Во-вторых, еще больше усилий требуется для изложения всех фактов,
>связанных
>>>с
>>>фактами покушений на взлом в письменном виде в форме, доступной для
>>>следственных
>>>органов и суда. Например для пояснения 20 страниц Актов об обнаружении
>>>фактов
>>>подбора паролей, написанных в ходе определения взломщика, потребовалось
60
>>>страниц
>>>пояснений для следствия и Суда. А технические специалисты далеко не все
>>>сильны в
>>>эпистолярном жанре. Любая же неточность, неясность и не полная
>>>определенность
>>>используется защитой для того, чтобы поставить под сомнение правильность
>>>сделанных
>>>выводов.
>>>В-третьих, во время проведения следствия и до оглашения приговора суда
>>>запрещается разглашать ход следствия. Сроки следствия и суда довольно
>>>большие, слухи
>>>о том, что у провайдера какие-то проблемы, особенно в небольших городах,
>>>расходятся
>>>быстро, что в условиях конкуренции так же сказывается на коммерческой
>>>деятельности.
>>>Для того, что бы быть готовым к подобным событиям, рискну предложить
>>>организациям,
>>>оказывающим услуги электронной почты и сетей передачи данных, несколько
>>>советов.
>>>1. В обязательном порядке во всех приглашениях (почтовых, FTP, при входе
в
>>>сеть) ,
>>>если есть явное предложение к вводу пароля, на своем национальном языке и
>на
>>>английском языке включите фразу о противозаконности действий лиц,
>>>подбирающих
>>>пароли.
>>>2. Включите в договора фразу или раздел о конфиденциальности.
>>>Например <АБОНЕНТ сохраняет конфиденциальность всей информации,
>>>предоставляемой провайдером при наличии перечня, что таковая информация
>>>является
>>>"конфиденциальной" или "патентованной". Информация будет ограничена тем
>>>кругом
>>>лиц, у которых есть в ней необходимость, при этом они будут извещены о
>>>характере
>>>такой информации . К конфиденциальной информации относятся все пароли,
>>>присвоенные реквизитам АБОНЕНТА>
>>>3. Если имеется техническая возможность, разрешите пользователям
>>>самостоятельно
>>>изменять свои пароли. Хлопоты, связанные с обучением по процедуре смены
>>>пароля, с
>>>лихвой окупятся временем, которое вы потратите, разбираясь с
>пользователями
>>>по
>>>поводу сумм их счетов, их ночного трафика и писем, якобы отправленных от
>их
>>>имени.
>>>Если возможности удаленно менять пароли нет, то ни в коем случае не
>>>изменяйте их по
>>>телефону. Приглашайте пользователей в офис и предлагайте СОБСТВЕННОРУЧНО
>>>заполнить заявку на смену пароля с указанием даты, фамилии и подписи
>>>меняющего
>>>пароль.
>>>4. Постарайтесь изолировать помещение, в котором располагаются
>>>технологические
>>>компьютеры, от того помещения, где у вас работают с потребителями. Если
>вам
>>>удастся
>>>сертифицировать технологическое помещение по безопасности, к вам очень
>>>сложно
>>>будет предъявить претензии по поводу утраты вами паролей абонентов.
>>>5. Если пользователи активно интересуются вопросами своей безопасности,
>>>постарайтесь
>>>уделить им внимание. Не нужно убаюкивать их заявлениями, что у вас все в
>>>порядке,
>>>постарайтесь выяснить источник их беспокойства. Это будет полезно и вам,
и
>>>пользователь увидит, что вы о нем беспокоитесь. Если появилось
подозрение,
>>>что
>>>пользователь вас <колет>, тем более с ним надо общаться как можно чаще,
>ведь
>>>ему
>>>можно подсказать пути, по которых вы его можете поймать.
>>>6. Если же все-таки обнаружены факты попыток подбора паролей, оформляйте
>>>документально и заверяете у своих руководителей Акты и Служебные записки,
>>>фиксируйте в технических журналах все факты, которые имеют отношение к
>>>попыткам.
>>>Особое внимание уделите синхронизации часов компьютеров, на которых
>ведутся
>>>различные файлы статистики. Если у вас на пять-семь минут расходятся
>>>показания часов
>>>на почте и сервер доступа в Интернет, могут возникнуть проблемы с
>>>доказательствами в
>>>суде.
>>>Если удалось найти, личность которая вас тревожит, не торопитесь звонить
>ему
>>>и
>>>обещать, что у него будут неприятности. Лучше связаться с органами ФСБ и
>>>предложить
>>>сделать визит им, взяв санкцию у прокурора. Неплохо наносить визит во
>время
>>>сеанса
>>>связи с предварительным обесточиванием квартиры подозреваемого. После
>>>изъятия
>>>компьютера и магнитных носителей постарайтесь убедить следствие сделать
>>>подробнейшую опись содержимого магнитных носителей, привлекая независимых
>и
>>>квалифицированных экспертов. Постарайтесь так же настоять, чтобы
магнитные
>>>носители не были возвращены подозреваемому до окончания суда, даже если
>>>следствие
>>>вынесет определения по их содержанию. Решения принимает суд, а не
>>>следственные
>>>органы, в ходе судебного разбирательства выводы о деятельности
подсудимого
>>>могут
>>>быть изменены на прямо противоположные и может потребоваться
>дополнительное
>>>следствие.
>>>При оформлении документов для следствия и суда избегайте формулировок
>>><возможно>
>>><вероятно>, <скорее всего>. Все формулировки должны быть точны,
однозначны
>и
>>>логически выдержанными. Не бойтесь сопровождать ваши выкладки
графическими
>>>материалами, схемами и таблицами. На слух читаемый в суде текст
>>>воспринимается
>>>примерно двадцать минут, после этого смысл начинает теряться. Помните,
что
>>>чем
>>>понятнее будут ваши рассуждение, тем больше доверия они будут вызывать у
>>>суда.
>>>Постарайтесь избегать специальных терминов типа <роутер>, <верификация>,
>>><аккаунт>,заменяйте их русскими эквивалентами <маршрутизатор>,
<проверка>,
>>><учетное
>>>имя>. Не называйте одно и то же понятие разными терминами, это сильно
>путает
>>>не
>>>профессионалов. Старайтесь сделать все, что бы суд вас понимал и видел,
>что
>>>вами
>>>движет желание восстановить истину, а не отомстить обидчику. Ни в коем
>>>случае не
>>>допускайте даже намека на оскорбление подсудимого, защиты или, тем более,
>>>суда. Даже
>>>фраза <вы не понимаете>, произнесенная несколько раз, может быть
>истолкована
>>>двояко.
>>>Постарайтесь, что бы на процессе в качестве истца вас представлял и
>>>администратор, и
>>>технический специалист. Только истец имеет право задавать вопросы
>>>обвиняемому,
>>>защите, обращаться с просьбами к суду в ходе процесса, свидетели лишены
>>>такого права.
>>>Самое главное, набраться терпения и постараться избавится от эмоций, они
>>>мешают
>>>логике, и слушать, слушать, слушать....
>>
>>
>>
>>
>
>
------
Ilya Shulman ish@east.ru +7-095-956-4951 ISH-RIPN
East Connection ISP, Moscow, Russia.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
