последствии используя скрипт к терминальной программе "TELEX",
пытался подобрать пароли к адресам пользователей электронной
почты.
Все попытки осуществлялись через номер общего пользования
сети Х.25 "Спринт" в г.Южно-Сахалинске. В результате Гоярчуку
удалось подобрать пароли к адресам некоторых абонентов.
Подбор проводился либо в выходные и праздничные дни, либо
в ночное время. В ночь с 14 на 15 мая и в ночь с 15 на 16 мая
техническим персоналом ТТС и ГТС Южно-Сахалинска были проведены
мероприятия по определению телефонного номера, с которого
работал
В ходе дальнейших оперативных проверок было выяснено, что
это номер соседней квартиры, с хозяевами которой Гоярчук якобы
договорился об использовании номера в ночное время.
Наблюдения за действиями Гоярчука продолжались до момента,
пока он не разослал от имени ТТС некоторым пользователям
электронной почты письма с просьбой сообщить все свои
реквизиты, в том числе и учетные имена сети "Интернет" с
паролями. В письме в очень доброжелательной форме излагалось о
планируемых ТТС улучшениях сервиса, которые действительно
готовились, и предлагалось сообщить свои данные для создания
некой базы данных, которое почему-то было необходимо в связи с
увеличением пропускной способности магистрального канала связи
Письмо было разослано с электронного адреса
SAKHMAIL@CHAT.RU, который был зарегистрирован на сервере
CHAT.RU. Найти владельцев этого сервера в Москве, для того
чтобы определить IP адреса, с которых выполнялось соединение по
POP3, не удалось не только нам, но и представителям ФСБ,
которые вели следствие. Так что пользуйтесь услугами бесплатных
почтовых серверов!
6 июня 1997г. было проведено задержание Гоярчука С.А. у
него на квартире, в ходе которого было изъято два компьютера и
около 40 дискет. В ходе исследования компьютеров на личном
компьютере Гоярчука была найдена программа-скрипт SM_CRACK,
электронные письма, адресованные одному из Южно-Сахалинских
банков и коммерческой фирме, файл, содержащий текст письма,
разосланного абонентам от имени ТТС.
В ходе следствия, и в ходе судебного разбирательства
Гоярчук С.А. давал очень путанные объяснения, суть которых
сводилась к тому, что программу SM_CRACK он сам не составлял, а
получил ее в ходе одного из CHAT сеансов он неизвестного ему
пользователя SERGE. Влекомый юношеским любопытством, он
запустил программу, не результатов ее на экране не увидел,
поэтому решил исследовать ее дальше и оставил работать на ночь.
Видимо, любопытство было столь велико, что заставляло включать
ее каждую ночь в течении двух недель, а по выходным любопытство
просто распирало пытливого юношу, поскольку программа работа и
днем. В результате чего в последствии внутригородской трафик
Х.25 составил 1 750 000 руб, которые электронной почте пришлось
оплатить.
Факт наличия чужих электронных писем у себя на компьютере
Гоярчук так же объяснял действием новой модификации программы
SM_CRACK, так же полученной им от неведомого абонента. Эта
новая версия не только подбирала пароли, но и осуществляла
копирование содержимого почтового ящика на компьютер взломщика.
Однако полученные письма были составлены в начале мая, а
модификация появилась во второй его половине.
На этом действие мистических сил на Гоярчука не
прекратилось. По его утверждениям в конце мая он получил
электронное письмо без адреса отправителя и заголовка, в
котором предлагалось выполнить ряд команд. Безропотно выполнив
их, он обнаружил, что настройка почтовой программы странно
изменилась, однако, не придав этому значения, он "что-то
сделал" и с его компьютера сообщение разошлось другим
пользователям.
В действительности с адреса SAKHMAIL@CHAT.RU 30 мая в
адрес одной из фирм, где работал Гоярчук С.А. было отправлено
электронное письмо, текст, которого в точности совпадал с
текстом, найденным у него на компьютере в отдельном файле.
Кроме этого интервал времени между получением письма от
безымянного отправителя и событием "что-то сделал" составил
более суток, а само событие "что-то сделал" произошло в 1 час
35 минут ночи. Именно в это время было сформировано письмо от
абонент SAKHMAIL@CHAT.RU и зафиксирована активность
идентификатора сети "Интернет", который 14 мая был
зарегистрирован Гоярчуком С.А., как представителем организации
потребителя услуг.
В ходе судебного разбирательства Гоярчук С.А. пытался
обосновать свои действия тем, что не понимал сути происходящих
процессов и плохо разбирался в том, как работают компьютерные
программы, которые он запускал. Однако по показаниям директора
фирмы, в которой Гоярчук С.А. в течении более чем года (!)
бесплатно (!!!) проходил практику, он обучал продавцов и
бухгалтеров фирмы работе с компьютерными программами.
Заслушав обвиняемого и свидетелей, государственное
обвинение указало на соответствие квалификации действий
Гоярчука С.А. предварительным следствием. И по совокупности
просило суд применить наказание в виде лишения свободы сроком
на три года со штрафом в размере 200 минимальных окладов.
Однако учитывая юный возраст подсудимого, положительные
характеристики с мест работы и отсутствие судимостей, просило
считать срок заключения условным, установив испытательный срок
2 года.
Защита, указав на техническую сложность дела, отсутствие
судебной практики подобного характера, личность подсудимого, а
так же помощь (?), которую подсудимый оказал следствию в ходе
расследования, просил не применять к подсудимому статьи 30 и
272 УК, и ограничить наказание штрафом в 200 минимальных
окладов. Кроме этого, в качестве одного из аргументов защита
приводила факт отсутствия каких-либо предупреждений по поводу
противоправности действий подзащитного в договоре на оказание
услуг.
В результате суд пришел к решению признать Горчука С.А.
виновным и применить меру наказания, предлагаемую обвинением.
Неофициальная версия происходящего.
ПРОВАЙДЕР, БУДЬ БДИТЕЛЕН!
Действия лиц, подобных Гоярчуку, кроме прямого
материального ущерба, связанного с отказом организаций от
оплаты трафика, созданного своими пытливыми работниками,
наносят и большой косвенный ущерб.
Во-первых, нужно достаточно много усилий
квалифицированного технического персонала, для того чтобы
обнаружить факты подбора паролей, отследить связь событий по
очень большим файлам статистики, определить место откуда
действует взломщик.
Во-вторых, еще больше усилий требуется для изложения всех
фактов, связанных с фактами покушений на взлом в письменном
виде в форме, доступной для следственных органов и суда.
Например для пояснения 20 страниц Актов об обнаружении фактов
подбора паролей, написанных в ходе определения взломщика,
потребовалось 60 страниц пояснений для следствия и Суда. А
технические специалисты далеко не все сильны в эпистолярном
жанре. Любая же неточность, неясность и не полная
определенность используется защитой для того, чтобы поставить
под сомнение правильность сделанных выводов.
В-третьих, во время проведения следствия и до оглашения
приговора суда запрещается разглашать ход следствия. Сроки
следствия и суда довольно большие, слухи о том, что у
провайдера какие-то проблемы, особенно в небольших городах,
расходятся быстро, что в условиях конкуренции так же
сказывается на коммерческой деятельности.
Для того, что бы быть готовым к подобным событиям, рискну
предложить организациям, оказывающим услуги электронной почты и
сетей передачи данных, несколько советов.
1. В обязательном порядке во всех приглашениях (почтовых,
FTP, при входе в сеть) , если есть явное предложение к вводу
пароля, на своем национальном языке и на английском языке
включите фразу о противозаконности действий лиц, подбирающих
пароли.
2. Включите в договора фразу или раздел о
конфиденциальности. Например "АБОНЕНТ сохраняет
конфиденциальность всей информации, предоставляемой провайдером
при наличии перечня, что таковая информация является
"конфиденциальной" или "патентованной". Информация будет
ограничена тем кругом лиц, у которых есть в ней необходимость,
при этом они будут извещены о характере такой информации . К
конфиденциальной информации относятся все пароли, присвоенные
реквизитам АБОНЕНТА"
3. Если имеется техническая возможность, разрешите
пользователям самостоятельно изменять свои пароли. Хлопоты,
связанные с обучением по процедуре смены пароля, с лихвой
окупятся временем, которое вы потратите, разбираясь с
пользователями по поводу сумм их счетов, их ночного трафика и
писем, якобы отправленных от их имени.
Если возможности удаленно менять пароли нет, то ни в коем
случае не изменяйте их по телефону. Приглашайте пользователей в
офис и предлагайте СОБСТВЕННОРУЧНО заполнить заявку на смену
пароля с указанием даты, фамилии и подписи меняющего пароль.
4. Постарайтесь изолировать помещение, в котором
располагаются технологические компьютеры, от того помещения,
где у вас работают с потребителями. Если вам удастся
сертифицировать технологическое помещение по безопасности, к
вам очень сложно будет предъявить претензии по поводу утраты
вами паролей абонентов.
5. Если пользователи активно интересуются вопросами своей
безопасности, постарайтесь уделить им внимание. Не нужно
убаюкивать их заявлениями, что у вас все в порядке,
постарайтесь выяснить источник их беспокойства. Это будет
полезно и вам, и пользователь увидит, что вы о нем
беспокоитесь. Если появилось подозрение, что пользователь вас
"колет", тем более с ним надо общаться как можно чаще, ведь ему
можно подсказать пути, по которых вы его можете поймать.
6. Если же все-таки обнаружены факты попыток подбора
паролей, оформляйте документально и заверяете у своих
руководителей Акты и Служебные записки, фиксируйте в
технических журналах все факты, которые имеют отношение к
попыткам.
Особое внимание уделите синхронизации часов компьютеров,
на которых ведутся различные файлы статистики. Если у вас на
пять-семь минут расходятся показания часов на почте и сервер
доступа в Интернет, могут возникнуть проблемы с
доказательствами в суде.
Если удалось найти, личность которая вас тревожит, не
торопитесь звонить ему и обещать, что у него будут
неприятности. Лучше связаться с органами ФСБ и предложить
сделать визит им, взяв санкцию у прокурора. Неплохо наносить
визит во время сеанса связи с предварительным обесточиванием
квартиры подозреваемого. После изъятия компьютера и магнитных
носителей постарайтесь убедить следствие сделать подробнейшую
опись содержимого магнитных носителей, привлекая независимых и
квалифицированных экспертов. Постарайтесь так же настоять,
чтобы магнитные носители не были возвращены подозреваемому до
окончания суда, даже если следствие вынесет определения по их
содержанию. Решения принимает суд, а не следственные органы, в
ходе судебного разбирательства выводы о деятельности
подсудимого могут быть изменены на прямо противоположные и
может потребоваться дополнительное следствие.
При оформлении документов для следствия и суда избегайте
формулировок "возможно" "вероятно", "скорее всего". Все
