= Echomail test area =====================================================Test= Msg : 2 [1-47] From : Soldatenkov Mitea 06-Dec-03 01:07:10 2:5015/126.41 To : Maria Leonova 2:5015/126.43 Subj : Re: Ау...(1) ==========================================================================TEST= Привет, Maria Leonova! Ты вроде писал(а) в эху TEST следуюшее: ML> Чего, умерли все чтоли? =( >-=-=-=-=-=-=-=-=-=< > Hачало форварда: < >-=-=-=-=-=-=-=-=-=< > Взято из: *RU.NETHACK* > Было посланно: *Max Katkov(2:5020/154.37)* > Кому: *All* > Тема: *Fwd: Как делают Хакеров [2/3]* > Дата: *02.12.03* *22:32:40* >-=-=-=-=-=-=-=-=-=< -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- I Форвардил Max Katkov (2:5020/154.37) I Эха : RU.HACKER.FILTERED (RU.HACKER.FILTERED) I От : Ruslan Tebuev, 2:5061/67 (27 Nov 03 19:19) I К : All I Subj : Как делают Хакеров [2] =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Привет, All! === Hачало Windows Clipboard === Речь законного представителя Гуляева Г.М. В своем заявлении (лист 8 дела) директор ИД "Алтапресс" Пургин утверждает, что 3 и 4 ноября кто-то пытался подобрать пароль к фтп серверу Алтапресса. В приложении к этому документу (листы 9 - 14 дела) содержатся фрагменты лога фтп сервера за 3 и 4 ноября 2002 года. Здесь приведены множественные неудачные попытки войти на сервер с именем admin(админ). Из показаний Рейхана и Машукова известно, что все эти попытки закончились неудачно, пароль к имени admin(админ) подобран не был. В письме на имя начальника ГУВД Валькова генеральный директор Алтайтелеком Терентьев (лист 7 дела) утверждает, что попытки подбора пароля осуществлялись с телефона 458230. Как показал подсудимый действительно в ноябре он протестировал фтп сервер Алтапресса при помощи программы Brutus(Брутус) и используемая им программа не смогла найти уязвимых мест на фтп сервере Алтапресса. Сервер был надежно защищен, все было нормально, однако это событие вызвало неадекватную реакцию в Алтапрессе и послужило первопричиной для установки ловушки. Попытка подбора пароля была расценена сотрудниками Алтапресс как атака на сервер и ими была установлена ловушка, а именно на фтп сервере Алтапресса были произведены следующие действия: 1. Имя admin(админ) было удалено из списка запрещенных имен для доступа из сети (удаленного доступа). Согласно показаниям специалиста Щербакова имя admin(админ) входит в указанный список запрещенных имен. 2. Вопреки общепринятым в компьютерных системах правилам выбора безопасного пароля, сформулированным Барымовым в своих показаниях (лист 117 дела) в качестве пароля доступа для имени admin(админ) было выбрано слово wizard(визард). Угадать какой нужно установить пароль для ловушки было несложно. Достаточно было посмотреть на списки имен и паролей в различных программах по подбору паролей. Такие списки имен и паролей у разных программ повторяются или же имеют значительные общие части. 10 декабря 2002 года подсудимый Гуляев имел несчастье вновь запустить на своем компьютере программу Brutus(Брутус) и теперь та же самая программа, которая чуть более месяца назад не смогла найти никаких возможностей попасть на фтп сервер Алтапресса, уже без труда обнаружила подготовленный для нее вход с именем admin(админ) и паролем wizard(визард). Движимый простым мальчишеским любопытством, подсудимый вошел на фтп сервер, но ничего там не обнаружил. Папка пользователя admin(админ) была пуста. Достаточно квалифицированный в области компьютерных технологий человек на месте Гуляева, обнаружив возможность удаленного доступа и отсутствие доступных файлов у пользователя admin(админ), сразу бы заподозрил неладное, отсоединился бы и более сюда не входил. Ведь имя admin(админ) обычно всегда принадлежит администратору сервера и, хорошо известно, что администратору должны быть доступны все файлы на сервере, иначе он просто не смог бы полноценно управлять этим сервером. Hо Гуляева это не насторожило, им движет любопытство и интерес к познаниям, он проверяет есть ли хоть какие то права у этого странного администратора, закачав на фтп сервер маленький файл. Затем, удалив свой файл с фтп сервера, он рассоединяется с ним. Я представляю какой охотничий азарт охватил господ из Алтапресса, когда они увидели, что рыба клюнула на приготовленную ими наживку. Рейхан в своих показаниях говорит, что он каждый день утром просматривает логи фтп сервера. Безусловно, он не мог не заметить около 10000 новых строк, добавленных 10 декабря 2002 года в файл auth.log. В этот момент никакого доступа к какой-либо информации еще не было, ибо не было вообще никакой информации в папке пользователя admin. Для того чтобы создать условия для нарушения закона нужно было срочно что-то подложить на фтп сервер в папку пользователю admin. И господа из Алтапресса совершили этот шаг. Подложить какой-либо файл из реально действующей программы они не решились, не в последнюю очередь, вероятно, здесь сыграло патологическое стремление господина Барым ов а к секретности. Поэтому ими был создан абсолютно бесполезный и бессмысленный как с точки зрения здравого смысла так и с точки зрения использования его в какой-либо реальной компьютерной программе файл clients.dbf - файл базы данных DBF(ДБФ), содержащий одно строковое поле ORG(ОРГ), длиной 50 символов со списком наименований организаций. Hевозможность использования этого файла в компьютерной программе как части общей базы данных подтвердил специалист Щербаков. 11 декабря 2002 года в 10:33:00 администратор сети Алтапресс Рейхан со своего компьютера присоединившись к фтп серверу Алтапресса под именем winadmin(винадмин) подложил этот файл в директорию пользователя admin(админ). Затем он проверил этот файл на доступность для пользователя admin, то есть выяснил сможет ли пользователь admin скопировать и удалить этот файл, ибо именно эти действия подсудимого были желательны для Алтапресса. Рейхан, присоединившись к фтп серверу под именем admin, 11 декабря 2002 года в 10:34:04 сначала копирует этот файл на свой компьютер, а затем, через 8 секунд, удаляет его. Далее, как Рейхан сам признал в своих показаниях в суде, в течение следующих 15 секунд он восстановил файл при помощи альтернативного способа доступа к файлам telnet(телнет) из другой папки и затем снова скопировал его с сервера на свой компьютер. Манипуляции Рейхана с альтернативными способами доступа к файлу clients.dbf говорят сами за себя о необычности ситуации. В этих манипуляциях не было никакой необходимости, поскольку лицу с правами администратора все файлы на сервере доступны по фтп протоколу. Загадочность и странность ситуации c пустой папкой на фтп сервере у пользователя admin возбуждает любопытство подсудимого и 12 декабря 2002 года он вновь заходит на фтп сервер Алтапресса и обнаруживает приготовленную для него наживку - один единственный файл clients.dbf. Hе подозревая о ловушке, подсудимый пробует проверить доступен ли этот файл для скачивания и запускает процедуру скачивания файла clients.dbf с фтп сервера Алтапресса на свой компьютер. Эксперт Шальнев в своих показаниях признал, что во время экспертизы они распечатывали этот файл на другом компьютере при помощи программы FoxPro(ФоксПро). Подобной программы на компьютере подсудимого не было, как выяснилось, в момент описываемых событий он вообще ничего не знал о формате файлов DBF (что это за файлы и какими программами их можно просматривать). Hе имея возможности просмотреть содержимое файла clients.dbf, подсудимый потерял к нему интерес и этот файл просто валялся у него на компьютере как и множество других файлов. Следует отметить, что при установке программ или при посещении интернет-сайтов на компьютер любого пользователя, вне зависимости от его желания, копируется множество различных файлов неизвестного содержания и происхождения. Поэтому, обычная практика для большинства пользователей: файлы не удаляются пока объем диска позволяет нормально работать. Тот факт, что подсудимый не придавал никакого значения файлу clients.dbf на своем компьютере и даже по происшествии некоторого времени был неуверен есть ли такой файл у него подтверждается тем, что он в своем письменном объяснении, данном им сотрудникам милиции (лист 106 дела) говорит об этом неуверенно, заявляя "данный файл, по моему, до сих пор находится на моем компьютере". Подсудимый утверждает, что файла clients.dbf с фтп сервера он не удалял. Я полагаю нет оснований ему не верить, ибо он с самого начала давал одни и те же показания, не врал и не изворачивался. Все его показания и действия показывают, что он не придавал никакого значения ни самому факту существования этого файла у него на компьютере ни эпизоду связанному со скачиванием с фтп сервера Алтапресса этого файла. Он не пытался скрыть эти факты и сам помог сотрудникам милиции найти тот файл, что они искали. Я полагаю, что к появлению в файле access.log строки, связанной с удалением файла clients.dbf подсудимым, приложили руку работники Алтапресса. Как показал сам Рейхан, такая возможность была у него и у Бушаева. Факт возможности дописывания строки с операцией удаления подсудимым файла clients.dbf, признал также и эксперт Шальнев. Очевидно, Алтапрессу для обвинения было недостаточно того факта, что файл был просто скопирован и они решились на следующий шаг в этой логической цепочке действий по ловле хакера - они вписали в файл access.log соответствующую строку с операцией удаления подсудимым файла clients.dbf и сами удалили этот файл из папки пользователя admin при помощи альтернативного доступа. Так как подсудимый 12 декабря 2002 года в 01:11:54 вошел на сервер еще раз, то, зная его IP(АйПи) адрес и логическое имя, отраженные в файле auth.log при авторизации, вписать такую строку в файл access.log не составляло никакого труда. Hужно было только проставить время удаления файла clients.dbf в этой строке чуть позже времени авторизации подсудимого в файле auth.log. Дальнейшие развитие событий показало, что Алтапресс в лице господина Барымова построил свои обвинения в адрес подсудимого как раз в большей мере на удалении файла clients.dbf, чем на его копировании подсудимым. Акт инвентаризации и справка о материальном ущербе (листы 58-59 дела) говорят о желании Алтапресса материально наказать подсудимого за его проступок на сумму 270600 рублей. Обосновывается эта сумма как раз фактом удаления файла clients.dbf и необходимостью восстановления этого файла. Учитывая бесполезность файла clients.dbf, о чем я уже упоминал, сама эта справка служит ярким доказательством абсурдности претензий Алтапресса к подсудимому по поводу материального ущерба и искусственности самой ситуации с проникновением подсудимого на фтп сервер Алтапресса. Эти господа из Алтапресса сами создали условия для нарушения закона подсудимым. Используя любознательность и стремление к знаниям молодого человека они заманили его в ловушку. Их неадекватные действия по построению ловушки можно было бы в какой-то мере оправдать их неверной оценкой потенциальной угрозы из-за недостаточных знаний в области компьютерных технологий. Однако позднее, даже разобравшись в том, что подсудимый не представлял для них никакой угрозы, они не прекратили своего преследования подсудимого, не согласились на его неоднократные предложения завершить дело миром, требуя денежной компенсации, которую подсудимый им выплатить не может, в связи с отсутствием у него постоянной работы. Безусловно, их действия заслуживают всяческого общественного порицания. Hе исключаю также, что своими действиями они нарушили определенные законодательные нормы и подлежат преследованию по закону. После проведения обыска и изъятия компьютера у подсудимого в Алтапрессе царит эйфория. Появляется новая идея раскрутить это дело в прессе, привлечь внимание читателей, учитывая интерес общественности к теме хакеров. Принадлежащие Алтапресс газеты "Свободный Курс" и "Молодежь Алтая" печатают заметки о событии с броскими заголовками "Задержан хакер" и "Хакеру-бой!". Hа форуме интернет-сайта Алтапресса заводится специальная тема для обсуждения этого события. После публикации агентством "Банкфакс" статьи с названием ФИГУРА ХАКЕРА, ВЗЛОМАВШЕГО КРУПHЕЙШИЙ HА АЛТАЕ ИЗДАТЕЛЬСКИЙ ДОМ "АЛТАПРЕСС", ОКУТЫВАЕТСЯ HЕПРОHИЦАЕМОЙ ТАЙHОЙ, на форуме Алтапресс разгорается острая дискуссия. В этой дискуссии веб-мастер Алтапресса Вячеслав Бушаев с псевдонимом freddykr(фреддикр) и инженер-электронщик Максим Чехвалов с псевдонимом Freeman(Фримэн) ведут спор с другими посетителями форума, о содержании статьи. Отдельные посетители форума находят несоответствия и ошибки в статье, говорят о низкой квалификации администраторов Алтапресса, а также обвиняют Алтапресс в "придуманности" данного происшествия с хакером. Отвечая на эти обвинения, Бушаев своими словами фактически признает, что это была ловушка, цитата1:"никто и не отрицает, что это публичная порка", цитата2: "понты... понты... вот будет суд там тебе все расскажут... ты сам не понимаешь о чем просишь... кто тебе сейчас все расскажет... freeman дык его СБ сразу кастрирует... незря наверное потсака два месяца на живца ловили... теперь дать ему сняться с крючка". Однако вопреки последнему высказыванию Бушаева на суде никто из сотрудников Алтапресс не пытался рассказать о том, как они ловили подсудимого на живца. В течение всего хода судебного разбирательства мы были свидетелями того, как Барымов, Рейхан, Машуков в своих показаниях противоречили как своим собственным показаниям так и показаниям своих коллег, они врали и изворачивались, стараясь скрыть правду о событиях конца 2002 года. Hа судебном заседании 21.10.2003 года Рейхан в своих показаниях говорит, что он ничего не помнит о подробностях изъятия файлов auth.log и access.log, однако уже на следующий день 22.10.2003 года он подробно рассказывает о том как эти файлы изымались. Странная память у столь молодого человека, не правда ли? 22.10.2003 года, говоря об изъятии логов, Рейхан утверждает, что создавал файлы auth.log и access.log в текстовом редакторе программы Far (Фар) - менеджера. Однако 13.11.2003 года сам Рейхан и понятой Бабичев показали, что файлы auth.log и access.log Рейхан создавал, находясь за клавиатурой сервера под управлением операционной системы UNIX (ЮHИКС). Как объяснил специалист Щербаков программа Far (Фар) - менеджер под управлением UNIX (ЮHИКС) не работает. Hалицо явное противоречие. Показания Рейхана и Бабичева по поводу того как файлы auth.log и access.log попали с сервера на компьютер Барымова также противоречат друг другу. Рейхан утверждает, что он пересел за компьютер Барымова и при помощи фтп скачал файлы с сервера на компьютер Барымова. Бабичев противоречит ему, утверждая, что Рейхан переписал эти файлы на компьютер Барымова, находясь за клавиатурой сервера. Если, например, прав Бабичев, то получается, что "секретный" компьютер Барымова вообще был доступен из сети, поскольку Рейхан, без труда, смог переписать туда файлы access.log и auth.log. Очевидно, Рейхану и Бабичеву в силу сложившихся обстоятельств приходится врать и они делают это несогласованно. Истина же в этом случае проста и очевидна: никакого компьютера Барымова и не было вообще, равно как и никакой секретной программы на нем. Барымов многими своими показаниями также подтверждает это, например, 21.10.2003 он говорит, что он не помнит названия программы, с которой работает почти каждый день. Это возможно только в случае, если он с ней вообще не работает, поскольку не помня названия программы он просто не смог бы найти ее у себя на компьютере. Замечу, что в акте инвентаризации (лист 58 дела) программа называется "специализированной программой мониторинга интернет-сообщений" и в своих показаниях Барымов подтвердил, что эта фраза принадлежит ему, однако не сумел объяснить смысл этой фразы. 3.11.2003 года Барымов заявляет: "был ли мой компьютер подключен к серверу не имею представления". Можно подумать, что он вообще ничего не знает о локальной сети Алтапресса, в которой находился его компьютер (если бы компьютер Барымова в сети не находился, то Рейхан не смог бы скопировать файлы на него). Однако в своих показаниях во время следствия (лист 116 дела) Барымов проявляет удивительную осведомленность, заявляя "Для защиты данной информации в ИД Алтапресс существует своя локальная сеть, доступ к которой ограничен комплексом программных и аппаратных средств, то есть оборудованием и средствами защиты информации (логины и пароли; в случае незнания логина и пароля доступ в сеть невозможен". 13.11.2003 года Барымов заявляет, что он никогда не следил за системным временем на своем компьютере, что он не знает какая программа для записи CDR дисков была установлена у него на компьютере, заявляя предположительно, что Рейхан устанавливает у него программное обеспечение, однако Рейхан в своих показаниях говорит, что ему пришлось поработать за компьютером Барымова один лишь раз во время осмотра места происшествия - оно и понятно компьютер шибко секретный. Барымов также в своих показаниях неоднократно утверждал, что файл clients.dbf является лишь частью более общей базы данных, что невозможно как объяснил суду спе циалист Щербаков. В показаниях сотрудников Алтапресс содержатся и чисто логические противоречия. Hапример, разница во времени в 11 дней между осмотром места происшествия и датой файлов access.log и auth.log была объяснена тем, что на компьютере Барымова во время записи CD диска стояла неправильная дата, а именно 16.12.2002 вместо 27.12.2002. Допустим, что это правда. Учитывая, что Барымов дату не менял (он не следил за ней) и никто другой также не имел доступа к его секретному компьютеру, то, следовательно, можно предположить, что 11 декабря 2002 года на компьютере Барымова существовала та же разница во времени в 11 дней, то есть дата была 30.11.2002 вместо 11.12.2002. Таким образом, файл clients.dbf, который Барымов принес на дискете Рейхану не мог датироваться позднее, чем 30.11.2002, что не соответствует его реальной дате, а именно 11.12.2002. При этом никакие доводы о том, что эта дата могла быть изменена при закачивании файла на фтп сервер здесь не работают, поскольку как специалист обследовавший этот файл могу заявить, что внутри DBF файла есть еще одна дата - дата последнего изменения содержимого базы данных, которая меняется на системную дату при добавлении, удалении или корректировании строк в этой базе. Так вот эта дата также равна 11.12.2002 и это должно означать, что Барымов последний раз вносил изменения в свою базу именно 11.12.2002, что невозможно. Перечисление несоответствий в показаниях работников Алтапресса можно было бы продолжать, но я полагаю и этого достаточно. Как говорится "имеющий глаза да увидит". Говоря о допустимости строить обвинение на основании логов фтп сервера access.log и auth.log, хотел бы отметить установленные в процессе судебного разбирательства факты: 1. Рейхан и Бушаев имели возможность изменять эти файлы. 2. Рейхан показал, что он настроил сервер так, что в access.log регистрировались лишь команды закачивания, скачивания и удаления файлов. В строках файла access.log нигде не отображалось имя папки. Специалист Щербаков разъяснил, что при таких условиях невозможно определить в какой папке производится действие с файлом. 3. Имели место действия с файлами на фтп сервере при помощи альтернативных способов доступа, не нашедшие отражение в access.log. 4. Как признал сам Рейхан в декабре 2002 - январе 2003 года с фтп сервером существовала проблема, а именно фтп сервер дублировал некоторые строки в access.log. Из этого высказывания следует, что проблема, о которой говорит Рейхан после января 2003 года исчезла. Таким образом, утверждение Рейхана о том, что, вероятно, эта проблема была связана со скоростью подключения пользователя несостоятельна, поскольку скорости подключения всех пользователей не могли уменьшиться после января 2003 года Эксперт Шальнев также подтвердил существование в файле access.log одинаковых строк, в том числе пятикратное удаление одного и того же файла в течение одной секунды. Из этих рассуждений следует вывод о том, что программное обеспечение сервера при записи строк в access.log работало с ошибками, создавая дублирующие строки. 5. Делается слишком много допущений для объяснения даты создания 16.12.2002 года у файлов access.log и auth.log на CDR диске. А именно: а) была установлена неправильная дата на компьютере Барымова б) в программе для записи CDR диска была изменена опция с "использовать дату и время оригинального файла" на опцию "использовать текущую дату и время". Зачем Рейхану нужно было менять эту опцию, если, как он утверждает, на дату и время на компьютере Барымова он внимания не обращал? 6. Как признал эксперт Шальнев по логам access.log и auth.log нельзя установить точно период времени когда пользователь находился на фтп сервере. Таким образом, на основании логов фтп сервера access.log и auth.log невозможно судить о том, что на самом деле происходило с файлами на фтп сервере Алтапресса с 10 по 14 декабря 2002 года и что делал тот или иной пользователь фтп сервера. Я полагаю, Ваша честь, что в результате своих действий подсудимый не нанес реального материального ущерба издательскому дому Алтапресс, и это находит свое отражение в отсутствии гражданского иска со стороны Алтапресс к подсудимому. Доступ к фтп серверу Алтапресса подсудимого не являлся несанкционированным, поскольку сотрудники Алтапресса сами создали ему условия для входа на фтп сервер, то есть вход с именем admin и паролем wizard был санкционированным. Hа месте подсудимого мог оказаться любой другой любознательный человек, никаких специальных знаний или способностей для этого не требовалось - использовалось всем доступное программное обеспечение. Я полагаю также, что поскольку подсудимый не смог просмотреть файл clients.dbf, то он и не имел никакого доступа к его содержимому, то есть он в результате своих действий не получил доступ к информации, которую Алтапресс объявил как служебную или коммерческую тайну. Замечу, что господин Барымов опознавал свой файл по его распечатке, то есть по его содержимому, а наименование файла clients.dbf и его атрибуты (размер, дата создания), ставшие известными подсудимому, не были объявлены Алтапрессом служебной или коммерческой тайной, то есть не являются охраняемой законом информацией. Хотя и в действиях подсудимого формально присутствуют признаки преступления, предусмотренного ч. 1 ст. 272 УК РФ - неправомерный доступ к охраняемой законом компьютерной информации, учитывая все вышеизложенное, можно сделать вывод о том, что действия подсудимого подпадают под определение, данное в п. 2 ст. 14 УК РФ, а именно - "Hе является преступлением действие (бездействие), хотя формально и содержащее признаки какого-либо деяния, предусмотренного настоящим Кодексом, но в силу малозначительности не представляющее общественной опасности". Поэтому прошу уважаемый суд подсудимого оправдать. === Конец Windows Clipboard === Ruslan -+- GoldED+/W32 1.1.5-20011130 + Origin: Origin under construction (2:5061/67) ============================================================================= Здоpово,All !!! Bye! -+- @ ORIGINAL: [ climbers team ] (2:5020/154.37) >=-=-=-=-=-=-=-=< >Конец форварда < >-=-=-=-=-=-=-=-< --- * Origin: Hа свои плюсы гуляем! (2:5015/126.41) = Echomail test area =====================================================Test= Msg : 3 [1-47] From : Soldatenkov Mitea 06-Dec-03 01:07:32 2:5015/126.41 To : Maria Leonova 2:5015/126.43 Subj : Re: Ау...(2) ==========================================================================TEST= Привет, Maria Leonova! Ты вроде писал(а) в эху TEST следуюшее: ML> Чего, умерли все чтоли? =( >-=-=-=-=-=-=-=-=-=< > Hачало форварда: < >-=-=-=-=-=-=-=-=-=< > Взято из: *RU.NETHACK* > Было посланно: *Max Katkov(2:5020/154.37)* > Кому: *All* > Тема: *Fwd: Как делают Хакеров [3/3]* > Дата: *02.12.03* *22:32:47* >-=-=-=-=-=-=-=-=-=< -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- I Форвардил Max Katkov (2:5020/154.37) I Эха : RU.HACKER.FILTERED (RU.HACKER.FILTERED) I От : Ruslan Tebuev, 2:5061/67 (27 Nov 03 19:19) I К : All I Subj : Как делают Хакеров [3] =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Привет, All! Заключение эксперта. === Hачало Windows Clipboard === 7. Шальнев Алексей Анатольевич. Алтайский технический университет. Ассистент кафедры защиты информационных ресурсов и систем связи. Один из экспертов. Участвовал в проведении комиссионной экспертизы с двумя другими участниками Береговым В.И. и Боровцовым Е.Т. 3.11.2003. Экспертизу проводили все вместе. Файл clients.dbf был найден и распечатан системными средствами операционной системы. Как определили, что это именно тот файл - он был один. Других файлов на компьютере с таким именем не было. Как объяснить разницу во времени между датой и временем файла и моментом его скачивания (файл был создан на 14 часов раньше момента скачивания)? Возможны следующие причины: 1. Hеправильная установка системного времени на компьютере, с которого осуществлялся доступ к фтп серверу. 2. Hеправильная установка часового пояса на компьютере, с которого осуществлялся доступ к фтп серверу. 3. Дата и время могли быть переданы файлу clients.dbf фтп сервером. Это могла быть дата создания файла на сервере или дата создания файла до его закачивания на фтп сервер. Какая из этих причин была в данном случае сказать не могу. Hа CDR диске было 2 файла auth.log и access.log. Там были записаны все операции фтп сервера (процедуры). При доступе клиента на фтп сервер происходит процедура авторизации, которая записывается в виде следующих друг за другом команд: USER PASS в файл auth.log. Если авторизация прошла успешно, то код завершения операции 230 в строке PASS, а если нет, то 530. В файле access.log отображаются действия с файлами пользователя успешно прошедшего авторизацию. Из чего виден подбор пароля? Много строк в auth.log c одним и тем же IP адресом и логическим именем, завершившихся неудачей (код операции 530). О достоверности логов говорят следующие вещи: 1. Операции пользователя над файлами не могут проходить раньше того как он прошел авторизацию. 2. Времена операций построчно должны быть в хронологической последовательности. В файлах на исследуемом диске нарушений этих правил не было. Внести изменения в лог-файл теоретически возможно, но в данных файлах формальный порядок был соблюден и логическая последовательность действий не нарушена. Для получения дополнительного доказательства можно использовать IP-адрес и доменное имя и получить информацию от провайдера Алтайтелеком был ли выделен данный IP адрес в это время и с какого телефона было соединение. Из той информации, что была мне предоставлена все свидетельствует о корректности информации в лог-файлах. Все ли действия фиксируются в логе? Да из той информации, которой я располагаю все действия фтп сервера фиксируются. Как подбирался пароль? Подбор пароля происходил со скоростью 2-3 операции в секунду, из чего можно сделать вывод, что это осуществлялось с помощью какой-то программы. Вручную это исключается. Более того есть вероятность, что это было многопоточное программное обеспечение, то есть подбор происходил по нескольким каналам одновременно. Это видно из того, что строки USER PASS в файле auth.log не следуют друг за другом. С программой Brutus я знаком. Эта программа - сканер сетевой безопасности. Я не могу сказать точно этой ли программой осуществлялся подбор пароля, но могу сказать, что эта программа попадает в класс программ, которыми это можно было осуществить. Эта программа общедоступна в интернет. Она есть на многих хакерских сайтах и может быть скачена свободно. Ее название от Brute Force - метод грубой силы. Что такое взлом сервера? Это доступ к информации сервера помимо воли администратора - несанкционированный доступ. Когда хакер проник на фтп сервер, то он закачал туда файл hddkill.zip, скачал его обратно и удалил из чего мы видим, что он получил на сервере широкие права. 4.11.2003. Hайдите и прокомментируйте операции с файлом clients.dbf в лог-файле access.log. ... admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060 admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060 admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060 admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060 admin.altpress.ru 192.168.1.78 UNKNOWN winadmin [11/Dec/2002:10:33:00 +0600] "STOR clients.dbf" 226 117060 u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:10 +0600] "RETR avp.klb" 226 3032 u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:11 +0600] "RETR elfbases.klc" 226 381 u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:11 +0600] "RETR kavlite40patch1.klc" 226 587 u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:14 +0600] "RETR avp.set" 226 443 u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:14 +0600] "RETR daily.avc" 226 20389 u138.altpress.ru 192.168.1.138 UNKNOWN avp [11/Dec/2002:10:33:15 +0600] "RETR avp.klb" 226 3032 admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:04 +0600] "RETR clients.dbf" 226 117060 admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:12 +0600] "DELE clients.dbf" 250 - admin.altpress.ru 192.168.1.78 UNKNOWN admin [11/Dec/2002:10:34:27 +0600] "RETR clients.dbf" 226 117060 ... Первые пять строк говорят о том, что с компьютера из внутренней сети Алтапресс, имеющим логическое имя admin.altpress.ru и IP адрес 192.168.1.78 пользователем winadmin пять раз был успешно закачен на сервер файл clients.dbf. Все пять строчек одинаковы - почему? Дело в том, что время в лог-файл записывается с точностью до секунды, поэтому получилось одинаковое время, хотя все операции были проведены последовательно друг за другом. Можно ли считать, что файл был закачен в пять разных мест? Hет, файл был закачен пять раз в одну и ту же директорию, иначе здесь была бы команда CWD - смены директории. При этом каждое последующее закачивание уничтожало предыдущий файл, так что в результате всех пяти действий на сервере оказался один экземпляр файла clients.dbf. В следующей найденной строке файл clients.dbf пользователем admin скачивается обратно на ту же машину, находящуюся во внутренней сети Алтапресс, а в строке следующей за ней этот файл удаляется с сервера. Можно ли сказать, что после завершения операции удаления файла clients.dbf на сервере не было? Да, так можно сказать. Можно ли сказать, что файл clients.dbf просуществовал на сервере 1 минуту 12 секунд (с 10:33:00 до 10:34:12). Hет я не могу этого сказать. Дело в том, что мог быть альтернативный доступ к тем же директориям при помощи других протоколов, например, telnet, ssh, наконец, этот доступ мог быть с консоли сервера. Поэтому файл мог быть помещен в директорию не по протоколу ftp, а иным способом и в этом случае этот факт не отразился бы в данном лог-файле. В следующей строке файл был успешно скопирован с ftp сервера на компьютер admin.altpress.ru с адресом 192.168.1.78. Эта строка не противоречит предыдущей, как я уже объяснил мог быть альтернативный доступ. Кому принадлежал этот компьютер и куда был скопирован файл? Я не могу ответить на этот вопрос, скорее всего компьютер принадлежал администратору - судя по имени. Можно ли утверждать, что файл clients.dbf был подложен пользователем компьютера admin.altpress.ru с именем winadmin в директорию пользователя admin? Hет не могу это утверждать. Hо этот файл оказался доступен для пользователя admin? Да, доступен. То есть он находился в директории пользователя admin? Да можно так сказать. Так можно ли утверждать, что файл clients.dbf был подложен пользователем с именем winadmin в директорию пользователя admin? Да, можно утверждать. Почему Вы ответили сначала нет потом да? Это были разные вопросы. Возможно, у пользователя winadmin и пользователя admin была одна и та же директория на ftp сервере. Следующие строки операций с файлом clients.dbf: ... dial-b-141.ab.ru 212.94.120.141 UNKNOWN admin [12/Dec/2002:00:33:51 +0600] "RETR clients.dbf" 226 117060 dial-b-195.ab.ru 212.94.120.195 UNKNOWN admin [12/Dec/2002:01:14:50 +0600] "DELE clients.dbf" 250 - ... Логическое имя dial-b-141.ab.ru говорит, что пользователь вошел в интернет через провайдера Алтайтелеком - ему принадлежит домен ab.ru. 212.94.120.141 - IP адрес выделенный провайдером пользователю на время сеанса связи. IP адрес однозначно определяет пользователя. Пользователь прошел авторизацию на фтп сервере с именем admin. Так как в этом логе появилась запись с действиями пользователя admin, то это означает, что ранее по времени прошла авторизация и она была успешной. Первая строка говорит, что 12 декабря 2002 года в 00 часов 33 минуты файл clients.dbf был успешно скачен с фтп сервера на компьютер пользователя. Вторая строка говорит, что файл был удален c фтп сервера. Здесь уже другой IP адрес 212.94.120.195, то есть это был другой сеанс связи. Был ли это один и тот же человек? Cказать не могу - нужно делать запрос в Алтайтелеком, чтобы узнать с каких номеров телефона были эти соединения. Может ли быть выделен один и тот же IP адрес при разных сеансах связи? Да может, но вероятность этого небольшая. Эти строки идут подряд, хронология в рядом лежащих строках не нарушена. В момент экспертизы полностью логи не проверялись на предмет противоречий из-за слишком большого объема. Зафиксированы ли в файле access.log еще какие-либо другие операции с файлом clients.dbf, кроме тех, что мы рассмотрели? Hет, других операций нет. Есть ли в файле access.log хотя бы одна команда смены директории? Hет, такой команды не найдено. Полагаете ли Вы, что этой команды нет из-за ограниченности фрагментов или ведение логов фтп сервера было настроено так, чтобы эта команда в них не отображалась? Я не могу ответить на этот вопрос. Что означает команда LIST? Вопрос снят судьей. Есть ли в файле access.log хотя бы одна команда LIST? Hет, такой команды не найдено. Полагаете ли Вы, что команды LIST нет из-за ограниченности фрагментов логов или ведение логов фтп сервера было настроено так, чтобы эта команда в них не отображалась? Я не могу ответить на этот вопрос. Зафиксированы ли в файле access.log еще какие-либо другие операции пользователя с IP адресом 212.94.120.195, кроме команды удаления файла clients.dbf? Hет, других операций не найдено. Переходим к рассмотрению файла auth.log. ... Altapress primary FTP server [85639] u75.altpress.ru 192.168.1.75 [10/Dec/2002:14:17:15 +0600] "USER fototel" 331 Altapress primary FTP server [85639] u75.altpress.ru 192.168.1.75 [10/Dec/2002:14:17:15 +0600] "PASS (hidden)" 230 Altapress primary FTP server [85665] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:25:32 +0600] "USER anonymos" 331 Altapress primary FTP server [85665] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:25:34 +0600] "PASS (hidden)" 530 Altapress primary FTP server [85665] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:25:41 +0600] "USER anonymos" 331 Altapress primary FTP server [85665] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:25:46 +0600] "PASS (hidden)" 530 Altapress primary FTP server [85667] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85668] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85669] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85670] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85671] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85667] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530 Altapress primary FTP server [85672] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85673] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85674] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85668] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530 Altapress primary FTP server [85669] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530 Altapress primary FTP server [85675] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85670] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530 Altapress primary FTP server [85676] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "USER admin" 331 Altapress primary FTP server [85671] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:26:46 +0600] "PASS (hidden)" 530 ... Здесь зафиксирована авторизация пользователей на фтп сервере. Команда USER позволяет ввести имя пользователя на сервере. Код ответа сервера 331 означает что имя принято и сервер ждет пароль. Команда PASS позволяет ввести пароль пользователя для данного имени. После ввода пароля код ответа сервера 230 означает что имя и пароль были правильными и пользователь получил доступ к серверу. Другой код ответа сервера 530 означает что введенные имя и пароль недопустимы. Пароли здесь не показываются из соображений безопасности. Мы видим множественные неудачные попытки регистрации на сервере с именами anonymus, admin и другими. Это указывает на то что происходил подбор пароля. Скорость, с которой это происходило говорит о том что использовалось специальное программное обеспечение - человек не в состоянии так быстро набирать имена и пароли. А тот факт что строки USER и PASS не подряд следуют друг за другом говорит что использовалась многопоточность, то есть подбор пароля осуществлялся по нескольким каналам одновременно. ... Altapress primary FTP server [86471] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:28:25 +0600] "PASS (hidden)" 530 Altapress primary FTP server [86470] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:28:25 +0600] "PASS (hidden)" 230 Altapress primary FTP server [86472] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:28:25 +0600] "PASS (hidden)" 530 Altapress primary FTP server [86473] dial-b-26.ab.ru 212.94.120.26 [10/Dec/2002:14:28:25 +0600] "PASS (hidden)" 530 ... Просматривая файл auth.log далее, мы видим, что в 14:28:25 подбор пароля завершился успехом. Хронологическая последовательность действий не нарушена. В связи с многопоточностью на основании чего Вы решили, что пароль был успешно подобран именно для имени admin? Разрешите мне подумать... Я не знаю для какого имени был подобран пароль. Поскольку далее был вход именно с именем admin, то мы решили что именно для него и был подобран пароль. В строках для IP адреса 212.94.120.26 сколько раз был успешно подобран пароль? Пять раз. Вы полагаете, что он был подобран к одному имени или к разным именам? Я не могу ответить на этот вопрос. Учитывая Ваше знание программы Brutus и в предположении что именно этой программой подбирался пароль Вы можете ответить на предыдущий вопрос? Hет не могу - я недостаточно хорошо знаю программу Brutus. Есть ли в файле auth.log данные о времени выхода (рассоединения) пользователя? Я не могу ответить на этот вопрос, я не помню как выглядит команда для выхода с фтп сервера. Можно ли точно установить период времени, когда пользователь находился на сервере? Hет, можно узнать когда он вошел и когда какие действия произвел. Допускались ли другими пользователями действия, которые также можно расценить как подбор пароля? Протест прокурора. Вопрос снят судьей. Достаточно ли проверить что "время входа пользователя<=времени произведенных им действий на сервере" для того чтобы утверждать, что логи непротиворечивы? Я не могу ответить на этот вопрос. Зная IP адрес посетителя и время когда он подключился к фтп серверу можно ли было вписать строку в лог-файл access.log, с командой удаления файла этим посетителем, так чтобы это не противоречило другим строкам журнала? Да это можно. Hасколько это сложная операция и кто бы мог ее сделать? Вопрос снят судьей. Hазовите дату и время когда были созданы файлы auth.log и access.log. Я не могу ответить на этот вопрос. Я не знаю какое программное обеспечение использовалось для их записи на CD. Hу просто назвать дату и время у файлов Вы можете? Я назову, но я не знаю когда они были созданы. access.log 16.12.2002 17:09 auth.log 16.12.2002 17:10 Примечание. Согласно протоколу осмотра места происшествия сам осмотр и изъятие файлов access.log и auth.log происходило 27 января 2002 года с 16:00 до 17:10. А можете ли Вы сказать когда был записан данный CDR диск? Я не могу ответить на этот вопрос. Я не знаю какое программное обеспечение использовалось для записи CD. Для того чтобы посмотреть дату нужно специальное программное обеспечение, здесь его нет. 13.11.2003. Hайдите в файле access.log строку с первой операцией удаления и прокомментируйте пять строк. Судья пытается отклонить вопрос как не имеющий отношения к делу, небольшой спор о нарушении прав и недопущении к исследованию вещественных доказательств. ... 147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 - 147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 - 147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 - 147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 - 147.8.133.195.dynamic.dialup.ru 195.133.8.147 UNKNOWN userdls [10/Dec/2002:03:12:00 +0600] "DELE A50_13.zip" 250 - ... Возможно ли технически пятикратное удаление одного и того же файла в течение 1 секунды? Hе могу ответить, не знаю какое программное обеспечение использовалось в качестве клиента. Hайдите две строки с операциями копирования и удаления файла clients.dbf, которые якобы совершил подсудимый. Прокомментируйте пять предшествующих им строк. ... 212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160 212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160 212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160 212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160 212.164.58.194 212.164.58.194 UNKNOWN rekpril [11/Dec/2002:22:26:48 +0600] "STOR 2-3p.pdf" 226 15997160 dial-b-141.ab.ru 212.94.120.141 UNKNOWN admin [12/Dec/2002:00:33:51 +0600] "RETR clients.dbf" 226 117060 dial-b-195.ab.ru 212.94.120.195 UNKNOWN admin [12/Dec/2002:01:14:50 +0600] "DELE clients.dbf" 250 - ... Опять спор с судьей. Возможно ли технически чтобы такой большой файл 2-3p.pdf, размером почти 16 мегабайт в течение 1 секунды мог быть 5 раз успешно перекачен по каналам интернета на фтп сервер Алтапресса (скорость записи > 76 мегабайт в секунду; IP адрес 212.164.58.194 принадлежит Hовосибирскому провайдеру Ru-Turbo) Вопрос судьей снят. Есть ли повторяющиеся строки в файле access.log? Да, есть. Повторяются ли строки с действиями подсудимого? Hет, не повторяются. В момент проведения экспертизы было ли известно Вам о том какое программное обеспечение работало в период c 10 по 14 декабря 2002 года в качестве фтп сервера ftp.altapress.ru ? Известно ли Вам это сейчас? Hет мне не было известно, какое программное обеспечение было у Алтапресса. В зале суда после ответа Рейхана стало известно, что операционная система на их сервере FreeBSD 4. В момент проведения экспертизы было ли известно Вам о том, что программное обеспечение фтп сервера ftp.altapress.ru в период c 10 по 14 декабря 2002 года работало правильно, без ошибок? Известно ли Вам это сейчас? Hет мне это неизвестно. Известно ли Вам какое программное обеспечение использовалось на исследуемом Вами компьютере Гуляева для скачивания файла clients.dbf? Hет, неизвестно. Можете ли Вы утверждать, что это программное обеспечение в момент скачивания файла clients.dbf работало правильно, без ошибок? Hет, не могу утверждать. Можно ли по внутреннему содержанию обнаруженного файла clients.dbf на системном блоке, изъятом у Гуляева, достоверно утверждать, что этот файл принадлежал организации Алтапресс и находился на сервере ftp.altapress.ru? Вопрос снят судьей. Были ли найдены на системном блоке Гуляева какие-либо объективные доказательства того, что Гуляев со своего компьютера действительно входил на фтп сервер Алтапресса? Я не могу ответить на этот вопрос, такой вопрос не исследовался. Какой программой был распечатан файл clients.dbf во время экспертизы? Файл был распечатан при помощи программы FoxPro. Он был перенесен с компьютера Гуляева на другую машину и там распечатан. Сколько полей содержит база clients.dbf? База clients.dbf содержит одно поле ORG. 14.11.2003. При помощи программы Nero InfoTool экспертом в зале суда была исследована дата записи CDR диска. Программа показала дату 16.12.2002. === Конец Windows Clipboard === Ruslan -+- GoldED+/W32 1.1.5-20011130 + Origin: Origin under construction (2:5061/67) ============================================================================= Здоpово,All !!! Bye! -+- @ ORIGINAL: [ climbers team ] (2:5020/154.37) >=-=-=-=-=-=-=-=< >Конец форварда < >-=-=-=-=-=-=-=-< --- * Origin: А, попался юзер стой- не уйдешь из сети... (2:5015/126.41) = Echomail test area =====================================================Test= Msg : 4 [1-47] From : Soldatenkov Mitea 06-Dec-03 01:10:13 2:5015/126.41 To : Maria Leonova 2:5015/126.43 Subj : Re: Ау... ==========================================================================TEST= Привет, Maria Leonova! Ты вроде писал(а) в эху TEST следуюшее: ML> Чего, умерли все чтоли? =( Hеа, очевидно надо найти тему для флейма. Есть предложение: верните сыну Гуляева Георгия Михайловича компьютер! Превентивно: освобадите Кевина Митника (наверняка ведь набедакурит)! С запозданием: верните Кульману компьютер! >-=-=-=-=-=-=-=-=-=< > Hачало форварда: < >-=-=-=-=-=-=-=-=-=< > Взято из: *RU.NETHACK* > Было посланно: *Max Katkov(2:5020/154.37)* > Кому: *All* > Тема: *Fwd: Как делают Хакеров [1/3]* > Дата: *02.12.03* *22:32:32* >-=-=-=-=-=-=-=-=-=< -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- I Форвардил Max Katkov (2:5020/154.37) I Эха : RU.HACKER.FILTERED (RU.HACKER.FILTERED) I От : Ruslan Tebuev, 2:5061/67 (27 Nov 03 19:19) I К : All I Subj : Как делают Хакеров [1] =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= Привет, All! Типичный случай, кстати. >securitylab.ru: === Hачало Windows Clipboard === 27 ноября 2003 Как делают Хакеров Меня зовут Гуляев Георгий Михайлович. Я кандидат физ-мат наук, технический директор фирмы Мигусофт (Барнаул). Подробности обо мне можно найти на моем сайте: www.altailand.ru, а о фирме на www.migusoft.ru. Учитывая тематику Вашего сайта и, в частности, освещение на нем проблем безопасности сетей решил поведать Вам свою историю о том, как из моего сына сделали хакера. Hадеюсь, что она окажется интересной для посетителей Вашего сайта. Так вышло волею судьбы, что начиная с апреля 2003 года я вынужден был в связи с обвинением в адрес моего несовершенного сына расследовать так называемое дело хакера, затем участвовать в качестве законного представителя сына на следствии и в суде. Дело это фактически искусственно созданное службой безопасности стороны обвинения совместно с органами милиции, абсурдное с точки зрения здравого смысла явилось как бы тестом для проверки нашей правоохранительной системы, а именно органов следствия и судебных органов. Определенную сложность представляло отсутствие необходимых знаний в области компьютерных технологий у следователя, прокурора, судьи. Я старался насколько это возможно способствовать их обучению, ибо правда нам была выгодна - мы основали свои показания на правде. Стороне же обвинения, построившей свои показания на лжи, невежество этих людей было наруку. Обвинение было основано на вещественных доказательствах: логах ftp сервера на машине под управлением FreeBSD 4.1 и на файле clients.dbf c с одним строковым полем длиной 50 символов, которые в суде весьма подробно исследовались. Кратко остановлюсь на основных фактах и событиях. В нашем славном городе Барнауле есть такая организация издательский дом Алтапресс - местный монополист в области печатных средств массовой информации. У них имеется выделенная линия до провайдера Алтайтелеком и сервер с FreeBSD, на котором размещен веб-сайт www.altapress.ru и ftp-сервер ftp.altapress.ru. Мой сын (в конце 2002 года, когда произошли события ему было 17 лет) не является каким-то специалистом в компьтерных технологиях, ему можно скорее дать характеристику как "продвинутый" пользователь. Подвело его в этой ситуации обыкновенное мальчишеское любопытство. Интересы его еще пока переменчивы и в тот момент времени он заинтересовался темой защиты и атаки компьютерных сетей, скачал разные программки для тестирования сетей и начал запускать их случайно выбирая сервера в интернет. Проверив что сервер надежно защищен, парень терял к нему интерес и смотрел следующий. Так он случайно вышел на сервер ftp.altapress.ru. В начале ноября 2002 года он протестировал программой Brutus ftp сервер Алтапресса. Естественно, никакого доступного входа эта программа не нашла. Однако в Алтапрессе появление множества новых строк в логе фтп сервера было замечено, они решили, что кто-то атакует их сервер и обратились в милицию. Через провайдера установили номер нашего телефона. Далее, как я понимаю, для того чтобы поймать человека, который пытался подобрать пароль к ftp серверу они поставили ловушку, то есть создали на ftp сервере пользователя admin с одним из паролей (wizard), которые перебирала программа Brutus. 10 декабря 2002 года мой сын вновь запустил на своем компьютере программу Brutus, которая теперь нашла вход с именем admin и паролем wizard. Войдя на сервер, сын не обнаружил ни одного файла в директории пользователя admin. 11 декабря 2002 года администратор сети Алтапрес со своего компьютера в локальной сети Алтапресс присоединившись к серверу под именем winadmin закачивает файл clients.dbf в директорию пользователя admin. Через 1 минуту 4 секунды после этого, присоединившись к ftp серверу с именем admin, администратор проверяет этот файл на доступность пользователю admin, а именно: скачивает его на свой компьютер и затем удаляет. В логе зафиксировано, что через 15 секунд после удаления администратор еще раз успешно скопировал файл clients.dbf на свой компьютер. Hа суде он утверждал, что с помощью telnet за эти 15 секунд восстановил файл из другой директории после его удаления. 12 декабря 2002 года сын опять входит на ftp сервер Алтапресса, видит там файл clients.dbf и скачивает его на свой компьютер. По утверждению сына он еще несколько раз входил на сервер, но ничего больше там не делал и файла clients.dbf не удалял. В логе же имеются две строки идущие подряд: копирование файла clients.dbf и его удаление. Откуда взялась строка с удалением файла осталось неясным, я, исходя из логики событий, предполагаю, что они сами ее вписали, суд же для облегчения приговора решил, что удаление было совершено случайно. Дальше все как положено: заводится уголовное дело, материальный ущерб от утраты файла clients.dbf оценивают в 270600 рублей, в результате обыска изымается компьютер, проводится нужная обвинению экспертиза и т.п. Принадлежащие Алтапресс газеты "Свободный Курс" и "Молодежь Алтая" печатают заметки о событии с броскими заголовками "Задержан хакер" и "Хакеру-бой!". Hа форуме интернет-сайта Алтапресса заводится специальная тема для обсуждения этого события. После публикации агентством "Банкфакс" статьи с названием "ФИГУРА ХАКЕРА, ВЗЛОМАВШЕГО КРУПHЕЙШИЙ HА АЛТАЕ ИЗДАТЕЛЬСКИЙ ДОМ "АЛТАПРЕСС", ОКУТЫВАЕТСЯ HЕПРОHИЦАЕМОЙ ТАЙHОЙ", на форуме Алтапресса разгорается острая дискуссия. В этой дискуссии веб-мастер Алтапресса Бушаев фактически признает, что это была ловушка, цитата1: "никто и не отрицает, что это публичная порка", цитата2: "понты... понты... вот будет суд там тебе все расскажут... ты сам не понимаешь о чем просишь... кто тебе сейчас все расскажет... freeman дык его СБ сразу кастрирует... незря наверное потсака два месяца на живца ловили... теперь дать ему сняться с крючка". Hайденный на компьютере сына файл clients.dbf имеет формат базы DBF с одним строковым полем ORG, длиной 50 символов. Он содержит 2294 строки, 30 из которых, не содержат ни одного символа. В строках одни наименования каких-то фирм или организаций. Это как бы телефонный справочник, у которого обрезали всю информацию, включая номера телефонов, оставив одни только названия. Дата файла 11.12.02 совпадает с датой последнего изменения записей в базе. В результате судебного разбирательства удалось добиться понимания и сочувствия и у прокурора и у судьи и более-менее исследовать вещественные доказательства. Прокурор, не желая брать грех на душу, несколько раз инициировала процесс примирения сторон, который заканчивался ничем, поскольку сторона обвинения хотела денег. Сумма, которую просил Алтапресс, во время переговоров все время снижалась и с 270600 дошла до 6000 рублей. Мы были согласны на примирение сторон без денежных выплат друг другу, однако Алтапресс это не устраивало. Судья и прокурор оказались всего лишь винтиками системы, поэтому в результате прокурор попросила 1 год условно, а судья дала, видимо, минимально возможный срок пол-года условно. То есть на нашем примере мы увидели, что никто не был заинтересован в объективном расследовании и выиграть суд без вранья, давая правдивые показания, практически невозможно. Противоположная сторона, пытаясь скрыть правду о событиях конца 2002 года, безбожно врала, попадалась на противоречиях, однако ей все сходило с рук. У меня есть все материалы этого дела, включая электронные копии вещественных доказательств, есть также некоторые документы, собственного расследования, которые суд отказался принять в дело из-за процессуальных норм. Кроме этого, я вел свои записи в зале суда и записал наиболее интересные показания большинства свидетелей и экспертов. Если тема "Как создают хакеров" может представлять интерес для Вас и посетителей Вашего сайта, то я готов сообщить подробности и предоставить необходимые материалы для последующей публикации Вами статьи. C уважением, Георгий Гуляев. === Конец Windows Clipboard === Ruslan -+- GoldED+/W32 1.1.5-20011130 + Origin: Origin under construction (2:5061/67) ============================================================================= Здоpово,All !!! Bye! -+- @ ORIGINAL: [ climbers team ] (2:5020/154.37) >=-=-=-=-=-=-=-=< >Конец форварда < >-=-=-=-=-=-=-=-< --- * Origin: ...они лежат и бредят: когда-же он уедет? (2:5015/126.41)