Форум ''Интернет и Право''
08 Декабрь 2019, 20:43:54 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: 1 2 3 [4] 5 6 ... 9   Вниз
  Печать  
Автор Тема: Как отбиться от ч1.ст. 272 и ч1.ст.165 УК  (Прочитано 35481 раз)
CyberCop
Ведущий
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #30 : 12 Май 2005, 21:10:51 »

P.S. Можно выложить отсканированными "картинками" с замазанным перданными. Любые материалы в любом объеме готов принять и выложить на форум (полученное в пятницу выложу в субботу).

Только ссылочки "плиз" не забудьте здесь на них указать... Подмигивающий Веселый
Записан
zampolit
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 27


С любовью к ближнему


« Ответ #31 : 13 Май 2005, 05:55:44 »

Второй день с большим интересом изучаю материалы дела. Если товарищ Замполит не возражает, сегодня или завтра помещу своё заключение прямо здесь.
 Очень даже "ЗА".
  Вчера набил экспертизы (вопросы и ответы) получилсоь 4 страницы. В форум заливать - не удобно как-то.
  Николай Николаевич, прошу Вас, в свое заключение, если это возможно, вставить часть переданных документов - на Ваше усмотрение. Однако, настаиваю на удалении/изменении параметров всех участников дела. По-крайней мере,-  до суда не стоит разглашать подобные сведения. (Все, что касается моей персоны, - можно оставить - чай не шпиён и скрывать мне не чего ;-) )
Записан
CyberCop
Ведущий
Частый посетитель
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 1889


Свой среди чужих - Чужой среди своих.


WWW E-mail
« Ответ #32 : 13 Май 2005, 08:56:49 »

Уважаемый, Zampolit! Улыбающийся
Как Вы относитесь к вот этому предложению администратора сего сайта? Веселый

Тогда, думаю, с согласия Замполита стоило бы выложить и некоторые ключевые документы, чтобы были понятны выводы.

Представляется, что это был бы оптимальный вариант для всех участников форума: и текст документа любой желающий себе скачать мог бы, и обсудить его в этом "топике", и форум не загромождался бы излишним текстом материалов рассматриваемого УД. Крутой

Может быть Вам стоит договориться с Антоном ради общего дела? Свое предложение он уже высказал - ответ и активные действия за Вами... Подмигивающий
Записан
zampolit
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 27


С любовью к ближнему


« Ответ #33 : 13 Май 2005, 10:58:05 »

Уважаемый, Zampolit! Улыбающийся
Как Вы относитесь к вот этому предложению администратора сего сайта? Веселый

Тогда, думаю, с согласия Замполита стоило бы выложить и некоторые ключевые документы, чтобы были понятны выводы.

Представляется, что это был бы оптимальный вариант для всех участников форума: и текст документа любой желающий себе скачать мог бы, и обсудить его в этом "топике", и форум не загромождался бы излишним текстом материалов рассматриваемого УД. Крутой

Может быть Вам стоит договориться с Антоном ради общего дела? Свое предложение он уже высказал - ответ и активные действия за Вами... Подмигивающий

Отлично!
  Только, думаю, что сначала я затру всю инфу об участниках дела, ибо там есть и персональные данные. Потребуется время... Считая, что MAC и IP адреса не являются охраняемой законом информацией - трогать не буду. Имена пользователей (они же логины) изменю.
А Вы как считатете?
Записан
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #34 : 13 Май 2005, 12:18:14 »

Привожу свои соображения и заметки по итогам анализа данного дела.

В начале - вывод. Если бы я оказался на месте судьи, я был бы "внутренне убеждён" в виновности обвиняемого. Но оправдал бы его ввиду недоказанности.



Насколько я себе представил из имеющихся материалов, фабула дела такова.

Сеть провайдера "Мегалинк" работает на одном из протоколов семейства Wi-Fi (802.11a, 802.11b или 802.11g) каком именно, точно не известно. Авторизация производится по логину и, возможно, паролю, предположительно, по протоколу аутентификации канального уровня 802.1x. Учёт трафика (аккаунтинг) производится по MAC-адресу и IP-адресу, предположительно, при помощи сервера FreeRadius. Другая информация об организации сети провайдера мне не известна.

Работники провайдера по жалобам клиентов заметили, что кто-то подключается к ним и потребляет услуги за счёт других клиентов. В логах "Радиуса" были замечены записи, в которых логин не соответствует паре MAC-адрес/IP-адрес, то есть, логин был "mozhaev", а MAC/IP соответствовали
клиентам ...удалено по просьбе zampolit...

Провайдер направил заявление в милицию, прямо указав в нём, что подозревают своего клиента Можаева.

В ходе расследования уголовного дела был изъят компьютер Можаева и передан на экспертизу. Эксперт Щагин обнаружил на жёстком диске изъятого компьютера следующие существенные для дела улики.
1) Файл netsetup.log, в котором отражено использование сетевого адаптера с различными MAC/IP-адресами.
2) Программу SMAC, которая позволяла менять MAC-адрес под ОС Виндоуз.
3) Логи ПМЭ, в которых отражена некоторая сетевая активность пользователя, зафиксированы моменты обращения к сети и IP-адреса, с которых они происходили.

Эксперт сопоставил найденное с логами провайдера "Мегалинк" и сделал вывод, что подозреваемый менял свои MAC-адрес/IP-адрес, не меняя логина (и пароля?) и таким образом подключался к сети провайдера, потребляя услуги за чужой счёт.

Цепочка доказательств выстраивается следующая.
- Биллинг провайдера учитывает трафик по MAC и/или IP-адресу.
- Логи ААА-сервера провайдера связывают несколько пар MAC/IP-адресов с логином "mozhaev".
- На компьютере Можаева обнаружены следы смены MAC-адреса на чужие MAC-адреса.
- За компьютером мог работать только Можаев.
Следовательно, именно он и осуществил НСД.

Слабые места данной цепочки:
- логи провайдера предоставлены заинтересованным лицом и никак не подтверждены независимo (например, протоколом осмотра или заключением эксперта);
- эксперт сделал ключевой вывод, опираясь на логи провайдера, которые официально ему не передавались для исследования;
- логи провайдера неполны, неизвестно ПО, которое их генерировало и настройки этого ПО (в зависимости от этих обстоятельств смысл логов может меняться очень сильно);
- не исследована версия "неизвестный злоумышленник", у которого было возможностей ровно столько же, сколько у подозреваемого, а мотивы - даже сильнее.



Экспертное заключение Щагина 12-18.04.05

Конечно, экспертиза проведена, мягко говоря, не идеально.
* Эксперт то ли загружался прямо с исследуемого диска, то ли подключал его одновременно с системным. При этом неконтролируемо изменяется информация на диске, которая может быть существенна для дела.
* Эксперт не проверил, как установлены часы исследуемого компьютера, хотя впоследствии данные о времени использовались для доказательства.
* Эксперт не перечислил использованные для исследования программы и основания доверять им (как известно, даже в профессиональном ПО регулярно выявляются ошибки, а программы кустарного производства, коих значительно больше, часто интерпретируют данные вовсе неверно).
 
Тем не менее, нет серьёзных оснований сомневаться в полученных экспертом данных. Выводы также в основном верны, но только при условии подлинности логов.  Кроме того, имеется процессуальная нестыковка.

Эксперт проводит сравнение обнаруженной на исследуемом диске информации с логами лоступа провайдера "Мегалинк" (логи ААА-сервера). Но эксперту такие логи, согласно постановлению, не передавались. Более того, логи оператора связи (провайдера) составляют тайну связи и/или
тайну личной жизни гражданина. Следовательно, доступ к логам может осуществляться лишь на основании судебного решения.

Таким образом, эксперт не имел права проводить сравнение найденной им информации с логами провайдера и делать выводы на основании этого сравнения. Даже если бы логи были бы переданы эксперту для сопоставления, необходимо обеспечить удостоверение подлинности этих логов.

Кроме логов ААА-сервера, существенное значение имеют логи точки доступа. Без их анализа и сопоставления с логами ААА-сервера нельзя говорить о полном исследовании доказательств.

Хотя на диске и обнаружена программа SMAC, предназначенная для смены MAC-адреса, запуск этой программы ничем не подтверждается - её упоминание отсутствует в логах ПМЭ, где отражен запуск иных программ. Также не указано никаких иных свидетельств, что программа SMAC запускалась. Тем более - что указанная программа использовалась по назначению.

Свидетельства смены MAC-адреса исследуемого компьютера обнаружены в файле netsetup.log. Нет оснований сомневаться в этой улике.

Сама по себе смена MAC-адреса компьютера не означает несанкционированного доступа. Всё зависит от системы авторизации и билинга, применяемой провайдером. В деле нет сведений об этих системах. Не указано, на каких протоколах построена сеть провайдера. Не указано, какие способы авторизации применяются и в каких режимах. Не указано, где
и на каком этапе проверяется логин-пароль и MAC-адрес пользователя. Не указано, где и на каком этапе пользователю присваивается IP-адрес. Нет сведений относительно того, какими техническими средствами производится учёт потреблённых услуг (биллинг) и сведений относительно сертификации биллинга. Без вышеуказанной информации НЕВОЗМОЖНО делать выводы относительно сути произошедшего. (Я, например, делаю не категоричные выводы, а предположительные, основанные на догадках.) В зависимости от вышепоименованной информации, имеющиеся в деле факты могут быть интерпретированы и как неправомерный доступ со стороны подозреваемого, и как неправомерный доступ со стороны неустановленного лица, и как ошибка технических средств провайдера, и даже как злоупотребление со стороны персонала провайдера.

Если эксперт делает категоричные выводы, значит либо он имеет  вышеперечисленную информацию, либо он некомпетентен. Третьего не дано.

Кроме логов ААА-сервера ("Радиус"), обязательно надо изучить логи точки доступа. И обязательно - конфиги того и другого.




По обвинительному заключению

Обвинение основывается на утверждении, что MAC-адрес компьютера является охраняемой законом информацией, и доступ к этой информации был неправомерным. Сам по себе MAC-адрес (без привязки его к фамилии, названию, адресу пользователя) охраняемой информацией, конечно же, не
является. Он не является персональными данными, поскольку по MAC-адресу невозможно идентифицировать личность. Он не является конфиденциальной информацией или коммерческой тайной, поскольку владелец не принимает мер для сохранения в тайне своего MAC-адреса. (Это противоречило бы техническим стандартам.) MAC-адрес передаётся по сети в открытом виде, в том числе, в протоколах Wi-Fi. Этот факт, кстати, эксперту был известен - см. протокол допроса эксперта Щагина от 14.02.05.

Безусловно, подмена MAC-адреса с целью получить услуги бесплатно нарушает права иных лиц и причиняет имущественный ущерб. Но квалификация здесь должна быть иная. Неправомерный доступ осуществлялся не к MAC-адресам, а к системе авторизации/билинга провайдера.

Предположим, что доказан факт смены MAC-адреса на компьютере подозреваемого. Однако чем доказывается, что подозреваемый, сменив MAC-адрес, выходил в сеть под именем пяти конкретных пользователей и получал услуги за их счёт? Для доказательства этого следовало бы
сопоставить логи провайдера (в которых фиксируется MAC-адрес) с сетевой активностью компьютера подозреваемого. Причём логи провайдера следовало бы осмотреть с участием незаинтересованного специалиста или получить в ходе экспертизы провайдерского оборудования. Но логи были переданы следствию самим провайдером, то есть, заинтересованным лицом. Даже
не сами логи, а конечный результат их сопоставления с сетевой активностью под логином подозреваемого.


Кстати, запись в логах "no User-Password attribute" говорит, что, скорее всего,
у провайдера используется сервер аутентификации FreeRadius.
Относительно FreeRadius имеются сведения о его некорректной работе в некоторых ситуациях. Например,
http://lists.cistron.nl/pipermail/freeradius-users/2004-September/036519.html
http://mail.iptel.org/pipermail/serusers/2004-September/011648.html
Разумеется FreeRadius не сертифицирован в РФ ни на что, а производитель (как это принято) отказывается от гарантий. Поэтому имеются основания полагать, что запись в логах вида
"Login OK: login/no User-Password attribute"
при определённых обстоятельствах может означать НЕУСПЕШНУЮ авторизацию.
И вообще, имеющиеся фрагменты логов кажутся внутренне противоречивыми. Например, есть записи об успешной и неуспешной аутентификации одного и того же пользователя при совершенно одинаковых условиях.



Насчёт возможности удалённого управления - тема бесперспективная. Найти троян очень сложно. И используют троян обычно для других целей. Правильные пацаны не надеются на мифических хакеров, а сами ставят себе троянские программы. Подмигивающий
« Последнее редактирование: 14 Май 2005, 13:02:50 от Dust » Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #35 : 13 Май 2005, 15:58:13 »

Николай Николаевич.
Можно пару уточняющих вопросов?

1)А как эксперт установил, что SMAC это SMAC (а не самораспаковывающийся архив Windows 3.11 Смеющийся)?

2)
...
Даже если бы логи были бы переданы эксперту для сопоставления, необходимо обеспечить удостоверение подлинности этих логов.
...
Как Вы считаете, чем можно обеспечить удостоверение подлинности логов? Интересно знать Ваше мнение.

...
Правильные пацаны не надеются на мифических хакеров, а сами ставят себе троянские программы. Подмигивающий
Есть известное выражение про хитрую гайку и болт  Смеющийся
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Николай Николаевич Федотов
Тех.специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #36 : 13 Май 2005, 18:14:23 »

Можно пару уточняющих вопросов?
1)А как эксперт установил, что SMAC это SMAC (а не самораспаковывающийся архив Windows 3.11 Смеющийся)?
Не знаю, об этом в заключении не написано. Но эксперт, как видно, не чайник. В вопросах типа отличить Бабеля от кабеля ему можно доверять.


2) Как Вы считаете, чем можно обеспечить удостоверение подлинности логов? Интересно знать Ваше мнение.

Например, произвести осмотр логов с участием независимого специалиста и понятых. Найденные логи распечатать, подписать и приложить к протоколу осмотра. В дальнейшем эксперту вместе с системным блоком передать копию этого протокола осмотра логов. Тогда будет уверенность, что эксперт производил сопоставление найденной на компьютере подозреваемого информации с правильными логами, а не с какой-нибудь фигнёй, которую он взял из неустановленного источника.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #37 : 13 Май 2005, 18:54:39 »

Раз в заключении эксперта не доказано, что программа (назовем ее условно) SMAC.exe  - это ПО именуемое SMAC фирмы такой-то, следовательно это не SMAC  и нечего огород городить.

Николай Николаевич.
Ваш ответ на мой второй вопрос - это метод "легализации" доказательства (придания логам статуса доказательства), меня более интересовал вопрос именно удостоверения подлинности (напр. расчетом хэш-функции или контрольных сумм по соответствующим алгоритмам).
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #38 : 13 Май 2005, 19:36:58 »

Раз в заключении эксперта не доказано, что программа (назовем ее условно) SMAC.exe  - это ПО именуемое SMAC фирмы такой-то, следовательно это не SMAC  и нечего огород городить.

Полагаю, что такой цели у эксперта не было, да по большому счету, в данном случае доказательства идентичности ПО и не требовалось. Эксперт, если Николай Николаевич, правильно отобразил это в своих замечаниях, установил всего лишь, что на компьютере была установлена некая программа SMAC (например, у нее так в ее собственном интерфейсе название высвечивалось), которая позволяла изменять MAC-адрес (опять же, например, могло устанавливаться, с помощью изучения интерфейса, Help'a, экспериментальной проверки этой функциональности на тестовом компьютере и на изъятом, при подключении копии вместо оригинально HDD). Если при этом эксперт дополнительно сходил бы на сайт разработчика, указанный в программе, установил бы визуально идентичность интерфейсов с тем, что нашлось на изъятом диске, сравнил бы, возможно имеющиеся в его коллекции хаши - то, IMHO, и для достаточно уверенного вывода об идентификации ПО набралось бы вполне достаточно оснований.
Записан

Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #39 : 13 Май 2005, 20:04:13 »

Dmitry, не ожидал  Грустный

Насколько я понимаю, для того чтобы в заключении эксперта  сказать, что на компьютере имеется программа SMAC  надо, как минимум, побитово сравнить файлы найденной программы с файлами лицензионного ПО (не путать с инсталяционным пакетом), как правило,  предоставленного следователем.

В принципе я и для Windows и для Linux могу замутить практически одинаковый визуальный интерфейс. Но Вы же понимаете, что это не одно и тоже  Смеющийся
Я уж не говорю про более простые, с точки зрения визуального отображения, интерфейсы программ.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Страниц: 1 2 3 [4] 5 6 ... 9   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

Произвольная ссылка:

Powered by SMF 1.1.21 | SMF © 2011, Simple Machines