Привожу свои соображения и заметки по итогам анализа данного дела.
В начале - вывод. Если бы я оказался на месте судьи, я был бы "внутренне убеждён" в виновности обвиняемого. Но оправдал бы его ввиду недоказанности.
Насколько я себе представил из имеющихся материалов, фабула дела такова.
Сеть провайдера "Мегалинк" работает на одном из протоколов семейства Wi-Fi (802.11a, 802.11b или 802.11g) каком именно, точно не известно. Авторизация производится по логину и, возможно, паролю, предположительно, по протоколу аутентификации канального уровня 802.1x. Учёт трафика (аккаунтинг) производится по MAC-адресу и IP-адресу, предположительно, при помощи сервера FreeRadius. Другая информация об организации сети провайдера мне не известна.
Работники провайдера по жалобам клиентов заметили, что кто-то подключается к ним и потребляет услуги за счёт других клиентов. В логах "Радиуса" были замечены записи, в которых логин не соответствует паре MAC-адрес/IP-адрес, то есть, логин был "mozhaev", а MAC/IP соответствовали
клиентам
...удалено по просьбе zampolit...Провайдер направил заявление в милицию, прямо указав в нём, что подозревают своего клиента Можаева.
В ходе расследования уголовного дела был изъят компьютер Можаева и передан на экспертизу. Эксперт Щагин обнаружил на жёстком диске изъятого компьютера следующие существенные для дела улики.
1) Файл netsetup.log, в котором отражено использование сетевого адаптера с различными MAC/IP-адресами.
2) Программу SMAC, которая позволяла менять MAC-адрес под ОС Виндоуз.
3) Логи ПМЭ, в которых отражена некоторая сетевая активность пользователя, зафиксированы моменты обращения к сети и IP-адреса, с которых они происходили.
Эксперт сопоставил найденное с логами провайдера "Мегалинк" и сделал вывод, что подозреваемый менял свои MAC-адрес/IP-адрес, не меняя логина (и пароля?) и таким образом подключался к сети провайдера, потребляя услуги за чужой счёт.
Цепочка доказательств выстраивается следующая.
- Биллинг провайдера учитывает трафик по MAC и/или IP-адресу.
- Логи ААА-сервера провайдера связывают несколько пар MAC/IP-адресов с логином "mozhaev".
- На компьютере Можаева обнаружены следы смены MAC-адреса на чужие MAC-адреса.
- За компьютером мог работать только Можаев.
Следовательно, именно он и осуществил НСД.
Слабые места данной цепочки:
- логи провайдера предоставлены заинтересованным лицом и никак не подтверждены независимo (например, протоколом осмотра или заключением эксперта);
- эксперт сделал ключевой вывод, опираясь на логи провайдера, которые официально ему
не передавались для исследования;
- логи провайдера неполны, неизвестно ПО, которое их генерировало и настройки этого ПО (в зависимости от этих обстоятельств смысл логов может меняться очень сильно);
- не исследована версия "неизвестный злоумышленник", у которого было возможностей ровно столько же, сколько у подозреваемого, а мотивы - даже сильнее.
Экспертное заключение Щагина 12-18.04.05
Конечно, экспертиза проведена, мягко говоря, не идеально.
* Эксперт то ли загружался прямо с исследуемого диска, то ли подключал его одновременно с системным. При этом неконтролируемо изменяется информация на диске, которая может быть существенна для дела.
* Эксперт не проверил, как установлены часы исследуемого компьютера, хотя впоследствии данные о времени использовались для доказательства.
* Эксперт не перечислил использованные для исследования программы и основания доверять им (как известно, даже в профессиональном ПО регулярно выявляются ошибки, а программы кустарного производства, коих значительно больше, часто интерпретируют данные вовсе неверно).
Тем не менее, нет серьёзных оснований сомневаться в полученных экспертом данных. Выводы также в основном верны, но только при условии подлинности логов. Кроме того, имеется процессуальная нестыковка.
Эксперт проводит сравнение обнаруженной на исследуемом диске информации с логами лоступа провайдера "Мегалинк" (логи ААА-сервера). Но эксперту такие логи, согласно постановлению, не передавались. Более того, логи оператора связи (провайдера) составляют тайну связи и/или
тайну личной жизни гражданина. Следовательно, доступ к логам может осуществляться лишь на основании судебного решения.
Таким образом, эксперт не имел права проводить сравнение найденной им информации с логами провайдера и делать выводы на основании этого сравнения. Даже если бы логи были бы переданы эксперту для сопоставления, необходимо обеспечить удостоверение подлинности этих логов.
Кроме логов ААА-сервера, существенное значение имеют логи точки доступа. Без их анализа и сопоставления с логами ААА-сервера нельзя говорить о полном исследовании доказательств.
Хотя на диске и обнаружена программа SMAC, предназначенная для смены MAC-адреса, запуск этой программы ничем не подтверждается - её упоминание отсутствует в логах ПМЭ, где отражен запуск иных программ. Также не указано никаких иных свидетельств, что программа SMAC запускалась. Тем более - что указанная программа использовалась по назначению.
Свидетельства смены MAC-адреса исследуемого компьютера обнаружены в файле netsetup.log. Нет оснований сомневаться в этой улике.
Сама по себе смена MAC-адреса компьютера не означает несанкционированного доступа. Всё зависит от системы авторизации и билинга, применяемой провайдером. В деле нет сведений об этих системах. Не указано, на каких протоколах построена сеть провайдера. Не указано, какие способы авторизации применяются и в каких режимах. Не указано, где
и на каком этапе проверяется логин-пароль и MAC-адрес пользователя. Не указано, где и на каком этапе пользователю присваивается IP-адрес. Нет сведений относительно того, какими техническими средствами производится учёт потреблённых услуг (биллинг) и сведений относительно сертификации биллинга. Без вышеуказанной информации НЕВОЗМОЖНО делать выводы относительно сути произошедшего. (Я, например, делаю не категоричные выводы, а предположительные, основанные на догадках.) В зависимости от вышепоименованной информации, имеющиеся в деле факты могут быть интерпретированы и как неправомерный доступ со стороны подозреваемого, и как неправомерный доступ со стороны неустановленного лица, и как ошибка технических средств провайдера, и даже как злоупотребление со стороны персонала провайдера.
Если эксперт делает категоричные выводы, значит либо он имеет вышеперечисленную информацию, либо он некомпетентен. Третьего не дано.
Кроме логов ААА-сервера ("Радиус"), обязательно надо изучить логи точки доступа. И обязательно - конфиги того и другого.
По обвинительному заключению
Обвинение основывается на утверждении, что MAC-адрес компьютера является охраняемой законом информацией, и доступ к этой информации был неправомерным. Сам по себе MAC-адрес (без привязки его к фамилии, названию, адресу пользователя) охраняемой информацией, конечно же, не
является. Он не является персональными данными, поскольку по MAC-адресу невозможно идентифицировать личность. Он не является конфиденциальной информацией или коммерческой тайной, поскольку владелец не принимает мер для сохранения в тайне своего MAC-адреса. (Это противоречило бы техническим стандартам.) MAC-адрес передаётся по сети в открытом виде, в том числе, в протоколах Wi-Fi. Этот факт, кстати, эксперту был известен - см. протокол допроса эксперта Щагина от 14.02.05.
Безусловно, подмена MAC-адреса с целью получить услуги бесплатно нарушает права иных лиц и причиняет имущественный ущерб. Но квалификация здесь должна быть иная. Неправомерный доступ осуществлялся не к MAC-адресам, а к системе авторизации/билинга провайдера.
Предположим, что доказан факт смены MAC-адреса на компьютере подозреваемого. Однако чем доказывается, что подозреваемый, сменив MAC-адрес, выходил в сеть под именем пяти конкретных пользователей и получал услуги за их счёт? Для доказательства этого следовало бы
сопоставить логи провайдера (в которых фиксируется MAC-адрес) с сетевой активностью компьютера подозреваемого. Причём логи провайдера следовало бы осмотреть с участием незаинтересованного специалиста или получить в ходе экспертизы провайдерского оборудования. Но логи были переданы следствию самим провайдером, то есть, заинтересованным лицом. Даже
не сами логи, а конечный результат их сопоставления с сетевой активностью под логином подозреваемого.
Кстати, запись в логах "no User-Password attribute" говорит, что, скорее всего,
у провайдера используется сервер аутентификации FreeRadius.
Относительно FreeRadius имеются сведения о его некорректной работе в некоторых ситуациях. Например,
http://lists.cistron.nl/pipermail/freeradius-users/2004-September/036519.htmlhttp://mail.iptel.org/pipermail/serusers/2004-September/011648.htmlРазумеется FreeRadius не сертифицирован в РФ ни на что, а производитель (как это принято) отказывается от гарантий. Поэтому имеются основания полагать, что запись в логах вида
"Login OK: login/no User-Password attribute"при определённых обстоятельствах может означать НЕУСПЕШНУЮ авторизацию.
И вообще, имеющиеся фрагменты логов кажутся внутренне противоречивыми. Например, есть записи об успешной и неуспешной аутентификации одного и того же пользователя при совершенно одинаковых условиях.
Насчёт возможности удалённого управления - тема бесперспективная. Найти троян очень сложно. И используют троян обычно для других целей. Правильные пацаны не надеются на мифических хакеров, а
сами ставят себе троянские программы.