19-летнему   студенту  Южно-Сахалинского  института  экономики,
права и информатики  Сергею  Гоярчуку,  помимо  нарушения  ряда
статей  УК  России, было инкриминировано нарушение трех законов
РФ -- "Об информации, информатизации и защите  информации",  "О
правовой охране программ для электронных вычислительных машин и
баз данных", "О связи".

Наказания (за исключением штрафа) г-н Гоярчук так и не понесет:
он попал под амнистию Госдумы РФ


         Date: 5 Feb 1998
         From: Alexandr Isaev ([email protected])
 Organization: TTS
   Newsgroups: relcom.fido.ru.networks


                              "Я Уголовный кодекс чту!"
                                                Остап Бендер.

     19  января  1997  г.  в  Южно-Сахалинском  городском  суде
завершилось  слушание  дела  по  обвинению  Гоярчука  Сергея  в
совершении   противоправных  действий,  квалифицировавшихся  по
Статье  30  "Подготовка   к   преступлению   и   покушение   на
преступление", Статье 272. "Неправомерный доступ к компьютерной
информации"  и   Статье   273.   "Создание,   использование   и
распространение вредоносных программ для ЭВМ" УК РФ.

     Гоярчук  С.А. является студентом 3 курса Южно-Сахалинского
института Коммерции, предпринимательства и информатики.
     Гоярчук   С.А.   являлся   техническим  специалистом  двух
организаций, заключивших договора на услуги электронной почты и
сети  "Интернет".  В  связи  с этим он имел доступ к нескольким
компьютерам, как в помещениях организаций, так и у  себя  дома,
т.к.  одна из организаций "передала ему один из компьютеров для
ремонта кнопки питания".
     При  заключении  договоров  и  в  дальнейшем  Гоярчук С.А.
проявлял большой  интерес  к  особенностям  работы  электронной
почты, возможностям доступа к ней через различные сети передачи
данных и сценариям работы с почтой в каждом из случаев.
     В  мае  1997  г.  Гоярчук С.А., первоначально вручную, а в
последствии используя скрипт к терминальной программе  "TELEX",
пытался  подобрать  пароли  к адресам пользователей электронной
почты.
     Все  попытки осуществлялись через номер общего пользования
сети Х.25 "Спринт" в г.Южно-Сахалинске. В  результате  Гоярчуку
удалось подобрать пароли к адресам некоторых абонентов.
     Подбор  проводился либо в выходные и праздничные дни, либо
в ночное время. В ночь с 14 на 15 мая и в ночь с 15 на  16  мая
техническим персоналом ТТС и ГТС Южно-Сахалинска были проведены
мероприятия  по  определению  телефонного  номера,  с  которого
работал
     В  ходе дальнейших оперативных проверок было выяснено, что
это номер соседней квартиры, с хозяевами которой Гоярчук  якобы
договорился об использовании номера в ночное время.

     Наблюдения за действиями Гоярчука продолжались до момента,
пока он  не  разослал  от  имени  ТТС  некоторым  пользователям
электронной   почты   письма   с  просьбой  сообщить  все  свои
реквизиты, в том  числе  и  учетные  имена  сети  "Интернет"  с
паролями.  В письме в очень доброжелательной форме излагалось о
планируемых  ТТС  улучшениях  сервиса,  которые   действительно
готовились,  и  предлагалось  сообщить свои данные для создания
некой базы данных, которое почему-то было необходимо в связи  с
увеличением пропускной способности магистрального канала связи

     Письмо    было    разослано    с    электронного    адреса
[email protected],  который  был  зарегистрирован   на   сервере
CHAT.RU.  Найти  владельцев  этого  сервера  в Москве, для того
чтобы определить IP адреса, с которых выполнялось соединение по
POP3,  не  удалось  не  только  нам,  но  и представителям ФСБ,
которые вели следствие. Так что пользуйтесь услугами бесплатных
почтовых серверов!

     6  июня  1997г.  было проведено задержание Гоярчука С.А. у
него на квартире, в ходе которого было изъято два компьютера  и
около  40  дискет.  В  ходе  исследования компьютеров на личном
компьютере Гоярчука  была  найдена  программа-скрипт  SM_CRACK,
электронные  письма,  адресованные  одному  из Южно-Сахалинских
банков и коммерческой фирме,  файл,  содержащий  текст  письма,
разосланного абонентам от имени ТТС.
     В  ходе  следствия,  и  в  ходе  судебного разбирательства
Гоярчук С.А. давал  очень  путанные  объяснения,  суть  которых
сводилась к тому, что программу SM_CRACK он сам не составлял, а
получил ее в ходе одного из CHAT сеансов  он  неизвестного  ему
пользователя   SERGE.   Влекомый   юношеским  любопытством,  он
запустил программу, не результатов  ее  на  экране  не  увидел,
поэтому решил исследовать ее дальше и оставил работать на ночь.
Видимо, любопытство было столь велико, что заставляло  включать
ее каждую ночь в течении двух недель, а по выходным любопытство
просто распирало пытливого юношу, поскольку программа работа  и
днем.  В  результате  чего в последствии внутригородской трафик
Х.25 составил 1 750 000 руб, которые электронной почте пришлось
оплатить.
     Факт  наличия чужих электронных писем у себя на компьютере
Гоярчук так же объяснял действием новой  модификации  программы
SM_CRACK,  так  же  полученной  им  от неведомого абонента. Эта
новая версия не только  подбирала  пароли,  но  и  осуществляла
копирование содержимого почтового ящика на компьютер взломщика.
Однако полученные  письма  были  составлены  в  начале  мая,  а
модификация появилась во второй его половине.
     На   этом   действие   мистических   сил  на  Гоярчука  не
прекратилось. По  его  утверждениям  в  конце  мая  он  получил
электронное  письмо  без  адреса  отправителя  и  заголовка,  в
котором предлагалось выполнить ряд команд. Безропотно  выполнив
их,  он  обнаружил,  что  настройка  почтовой программы странно
изменилась,  однако,  не  придав  этому  значения,  он  "что-то
сделал"   и   с   его  компьютера  сообщение  разошлось  другим
пользователям.
     В  действительности  с  адреса  [email protected]  30 мая в
адрес одной из фирм, где работал Гоярчук С.А.  было  отправлено
электронное  письмо,  текст,  которого  в  точности  совпадал с
текстом, найденным у него на компьютере в отдельном файле.
     Кроме  этого  интервал  времени между получением письма от
безымянного отправителя и  событием  "что-то  сделал"  составил
более  суток,  а само событие "что-то сделал" произошло в 1 час
35 минут ночи. Именно в это время было сформировано  письмо  от
абонент    [email protected]    и    зафиксирована    активность
идентификатора   сети   "Интернет",   который   14   мая    был
зарегистрирован  Гоярчуком С.А., как представителем организации
потребителя услуг.
     В  ходе  судебного  разбирательства  Гоярчук  С.А. пытался
обосновать свои действия тем, что не понимал сути  происходящих
процессов  и  плохо разбирался в том, как работают компьютерные
программы, которые он запускал. Однако по показаниям  директора
фирмы,  в  которой  Гоярчук  С.А.  в течении более чем года (!)
бесплатно (!!!)   проходил  практику,  он  обучал  продавцов  и
бухгалтеров фирмы работе с компьютерными программами.
     Заслушав   обвиняемого   и   свидетелей,   государственное
обвинение  указало  на   соответствие   квалификации   действий
Гоярчука  С.А.  предварительным  следствием.  И по совокупности
просило суд применить наказание в виде лишения  свободы  сроком
на  три  года  со  штрафом  в  размере 200 минимальных окладов.
Однако  учитывая  юный   возраст   подсудимого,   положительные
характеристики  с  мест работы и отсутствие судимостей, просило
считать срок заключения условным, установив испытательный  срок
2 года.
     Защита,  указав  на техническую сложность дела, отсутствие
судебной практики подобного характера, личность подсудимого,  а
так  же  помощь (?), которую подсудимый оказал следствию в ходе
расследования, просил не применять к подсудимому  статьи  30  и
272  УК,  и  ограничить  наказание  штрафом  в  200 минимальных
окладов. Кроме этого, в качестве одного  из  аргументов  защита
приводила  факт  отсутствия каких-либо предупреждений по поводу
противоправности действий подзащитного в договоре  на  оказание
услуг.
     В  результате  суд  пришел к решению признать Горчука С.А.
виновным и применить меру наказания, предлагаемую обвинением.





                          ПРОВАЙДЕР, БУДЬ БДИТЕЛЕН!

     Действия    лиц,    подобных   Гоярчуку,   кроме   прямого
материального  ущерба,  связанного  с  отказом  организаций  от
оплаты   трафика,   созданного  своими  пытливыми  работниками,
наносят и большой косвенный ущерб.

     Во-первых,      нужно      достаточно     много     усилий
квалифицированного  технического  персонала,  для  того   чтобы
обнаружить  факты  подбора  паролей, отследить связь событий по
очень  большим  файлам  статистики,  определить  место   откуда
действует взломщик.
     Во-вторых,  еще больше усилий требуется для изложения всех
фактов, связанных с фактами покушений  на  взлом  в  письменном
виде  в  форме,  доступной  для  следственных  органов  и суда.
Например для пояснения 20 страниц Актов об  обнаружении  фактов
подбора  паролей,  написанных  в  ходе  определения  взломщика,
потребовалось 60 страниц пояснений  для  следствия  и  Суда.  А
технические  специалисты  далеко  не  все сильны в эпистолярном
жанре.   Любая   же   неточность,   неясность   и   не   полная
определенность  используется  защитой для того, чтобы поставить
под сомнение правильность сделанных выводов.
     В-третьих,  во  время  проведения следствия и до оглашения
приговора суда  запрещается  разглашать  ход  следствия.  Сроки
следствия   и  суда  довольно  большие,  слухи  о  том,  что  у
провайдера какие-то проблемы,  особенно  в  небольших  городах,
расходятся   быстро,   что   в   условиях  конкуренции  так  же
сказывается на коммерческой деятельности.

     Для  того, что бы быть готовым к подобным событиям, рискну
предложить организациям, оказывающим услуги электронной почты и
сетей передачи данных, несколько советов.

     1.  В обязательном порядке во всех приглашениях (почтовых,
FTP, при входе в сеть) , если есть явное  предложение  к  вводу
пароля,  на  своем  национальном  языке  и  на английском языке
включите фразу о противозаконности  действий  лиц,  подбирающих
пароли.
     2.    Включите    в    договора   фразу   или   раздел   о
конфиденциальности.       Например      "АБОНЕНТ      сохраняет
конфиденциальность всей информации, предоставляемой провайдером
при  наличии   перечня,   что   таковая   информация   является
"конфиденциальной"   или   "патентованной".   Информация  будет
ограничена тем кругом лиц, у которых есть в ней  необходимость,
при  этом  они  будут извещены о характере такой информации . К
конфиденциальной информации относятся все  пароли,  присвоенные
реквизитам АБОНЕНТА"
     3.   Если   имеется   техническая  возможность,  разрешите
пользователям самостоятельно  изменять  свои  пароли.  Хлопоты,
связанные  с  обучением  по  процедуре  смены  пароля, с лихвой
окупятся  временем,  которое   вы   потратите,   разбираясь   с
пользователями  по  поводу сумм их счетов, их ночного трафика и
писем, якобы отправленных от их имени.
     Если  возможности удаленно менять пароли нет, то ни в коем
случае не изменяйте их по телефону. Приглашайте пользователей в
офис  и  предлагайте  СОБСТВЕННОРУЧНО заполнить заявку на смену
пароля с указанием даты, фамилии и подписи меняющего пароль.
     4.   Постарайтесь   изолировать   помещение,   в   котором
располагаются технологические компьютеры,  от  того  помещения,
где   у   вас   работают  с  потребителями.  Если  вам  удастся
сертифицировать технологическое помещение  по  безопасности,  к
вам  очень  сложно  будет предъявить претензии по поводу утраты
вами паролей абонентов.
     5.  Если пользователи активно интересуются вопросами своей
безопасности,  постарайтесь  уделить  им  внимание.  Не   нужно
убаюкивать   их   заявлениями,   что   у  вас  все  в  порядке,
постарайтесь  выяснить  источник  их  беспокойства.  Это  будет
полезно   и   вам,   и   пользователь  увидит,  что  вы  о  нем
беспокоитесь. Если появилось подозрение, что  пользователь  вас
"колет", тем более с ним надо общаться как можно чаще, ведь ему
можно подсказать пути, по которых вы его можете поймать.
     6.  Если  же  все-таки  обнаружены  факты  попыток подбора
паролей,  оформляйте  документально   и   заверяете   у   своих
руководителей   Акты   и   Служебные   записки,   фиксируйте  в
технических журналах  все  факты,  которые  имеют  отношение  к
попыткам.
     Особое  внимание  уделите синхронизации часов компьютеров,
на которых ведутся различные файлы статистики. Если  у  вас  на
пять-семь  минут  расходятся  показания часов на почте и сервер
доступа   в   Интернет,    могут    возникнуть    проблемы    с
доказательствами в суде.
     Если  удалось  найти,  личность  которая  вас тревожит, не
торопитесь  звонить  ему  и   обещать,   что   у   него   будут
неприятности.  Лучше  связаться  с  органами  ФСБ  и предложить
сделать визит им, взяв санкцию у  прокурора.  Неплохо  наносить
визит  во  время  сеанса связи с предварительным обесточиванием
квартиры подозреваемого. После изъятия компьютера  и  магнитных
носителей  постарайтесь  убедить следствие сделать подробнейшую
опись содержимого магнитных носителей, привлекая независимых  и
квалифицированных  экспертов.  Постарайтесь  так  же  настоять,
чтобы магнитные носители не были возвращены  подозреваемому  до
окончания  суда,  даже если следствие вынесет определения по их
содержанию. Решения принимает суд, а не следственные органы,  в
ходе    судебного   разбирательства   выводы   о   деятельности
подсудимого могут быть  изменены  на  прямо  противоположные  и
может потребоваться дополнительное следствие.
     При  оформлении  документов для следствия и суда избегайте
формулировок  "возможно"  "вероятно",   "скорее   всего".   Все
формулировки   должны   быть   точны,  однозначны  и  логически
выдержанными.   Не   бойтесь   сопровождать    ваши    выкладки
графическими материалами, схемами и таблицами. На слух читаемый
в суде текст  воспринимается  примерно  двадцать  минут,  после
этого  смысл начинает теряться. Помните, что чем понятнее будут
ваши рассуждение, тем больше доверия они будут вызывать у суда.
     Постарайтесь  избегать специальных терминов типа "роутер",
"верификация", "аккаунт", заменяйте их  русскими  эквивалентами
"маршрутизатор", "проверка", "учетное имя". Не называйте одно и
то  же  понятие  разными  терминами,  это  сильно   путает   не
профессионалов.  Старайтесь сделать все, что бы суд вас понимал
и видел, что вами движет  желание  восстановить  истину,  а  не
отомстить  обидчику. Ни в коем случае не допускайте даже намека
на оскорбление подсудимого, защиты или, тем более,  суда.  Даже
фраза  "вы  не  понимаете",  произнесенная несколько раз, может
быть истолкована двояко.
     Постарайтесь,  что  бы  на  процессе  в качестве истца вас
представлял и администратор, и технический  специалист.  Только
истец   имеет   право  задавать  вопросы  обвиняемому,  защите,
обращаться с просьбами к суду в ходе процесса, свидетели лишены
такого  права.  Самое главное, набраться терпения и постараться
избавится от эмоций, они мешают  логике,  и  слушать,  слушать,
слушать....




Популярность: 1, Last-modified: Tue, 30 Jun 1998 12:06:10 GmT