следующая тема »

[zampolit]

Доброе время суток!
Суть дела:
С моего компьютера, имеющего выход в И-нет через провайдера посредством радиосети, был осуществлен (и неоднократно) неправомерный выход.
Авторизация у прова происходит в два этапа:
1. Проверяется мой логин и пароль (прошиты в настройках радиокарточки)
2. Проверяется пара - IP и MAC адреса.
Если все соответствует, то выход в И-нет открыт, если проходит только первый этап, то машина способна увидеть только те машины, которые зарегистрированы на радиобазе (эдакая "локалка" получается)
Проблема заключается в том, что этап 1 проходит всегда, а вот на втором этапе.... периодически пара IP и MAC адресов ИЗМЕНЯЛИСЬ!!!
Вся процедура входа в сеть автоматизирована и изначально настроена провайдером. Комп входит в сеть при включении и остается там все время работы (а работал он у меня сутками)
В результате подмены адресной пары оплату за траффик производили другие пользовтаели (кстати, моя пара там тоже пробегает).
За компом работал ТОЛЬКО я, жена не всчет - с Вордой справляется еле-еле.
Провайдер - нет что б разобраться в проблеме - обратился в органы. Сейчас (на праздниках) предъявили обвинение.... все перечитываю обвинительное заключение.
Чушь какая-то..... На мои доводы, что у меня есть свидетель, у которого мы были на дне рождения, в то время как осуществлялся выход в И-нет под чужими данными (по логам с сервера провайдера), все закрывают глаза!!!
О том, что выход в И-нет был осуществлен после того, как у меня изъяли комп и пров ОТКЛЮЧИЛ меня (изъят и отключен 21/12/04, выход 16/03/2005 с 17 до 18ч. по статистике) даже слушать не хотят!!!!
А тот факт, что кражи траффика не прекратились - ни кого не волнует!!!
КАК доказать, что к изменению адресной пары Я НЕ ИМЕЮ ОТНОШЕНИЯ?

Сам считаю, что эти изменения были проведены со стороны (а может и программно?) и машина использовалась как шлюз, т.е. некто, подцепляясь к моей машине, выходил через меня в И-нет (благо для этого урода - машина находится в сети почти сутками и без присмотра).
При экспертизе были найдены программы:
1. SMAC (была установлена примерно в одно время с драйверами, суть ее я не понял - отображала текущее соединение - мои MAC и IP адреса (сейчас обяснили =8-(( ), во избежание проблем с радиокартой не тронул (а зззря!)
2. Cain&Abel - я ее использовал для восстановления своих же паролей для доступа к сайтам, где уже был зарегистрирован (иногда там почему-то меня не узнавали, а пароли не имею привычки запоминать, если есть возможность автоматической авторизации)
3. EssentualNetTools (могу ошибиться в точности названия) - использовал для сканирования своего сегмента сети, в случаях несанкционированного доступа из сети, когда ругался ZoneAlarm. Все результаты сканирования (10 отчетов) были сохранены в папке "Мои документы" для последующей передачи провайдеру, в случае утечки денег с моего счета или при других проблемах работы с сетью.

В соответствии с логами сервера пара адресов менялась круглосуточно, т.е. в разное время дня и ночи. Ночью я компом точно не пользуюсь (гашу монитор и отрубаю акустику), т.к. установлен он в комнате у ребенка (3 года). Работает только системник (мат. расчеты, дефрагментация диска, обжатие видео).

Люди! Помогите добиться правды!!! Я мог договориться с экспертом (через общих знакомых), заплатить и разойтись на "мировую", но я хочу быть честным до конца!!!!

На закуску пара вопросов:
1. Должен ли эксперт иметь соответствующую лицензию?
2. Как показать в суде, что удаленный доступ позволяет осуществлять сам WindowsXP, без приминения других программных продуктов?
3. Являются ли IP и MAC адреса охраняемой законом информации? (и являются ли они коммерческой тайной?)
4. Как лучше использовать свое алиби (человека с днем рождения)?

ЗЫЖ Уголовное приследование в отношении меня по данному делу уже прекращалось. Следователь военной прокуратуры (на момент "совершения" преступления я был военнослужащим), основываясь на показаниях эксперта, полученных в ходе допроса, установил, что доступ в радиосеть возможен со стороны, так же возможен радиоперехват информации и приминение ее в целях искажения данных о реальном пользователе.

[Николай Николаевич Федотов]

Если следователь отказывается принимать во внимание факты, свидетельствующие о невиновности/непричастности, то это проблема не техническая и даже не вполне юридическая.

1. Должен ли эксперт иметь соответствующую лицензию?

Нет, не должен. Таких лицензий не существует.

2. Как показать в суде, что удаленный доступ позволяет осуществлять сам WindowsXP, без приминения других программных продуктов?

Заслушать показания эксперта.

3. Являются ли IP и MAC адреса охраняемой законом информации? (и являются ли они коммерческой тайной?)

Нет, не являются.

4. Как лучше использовать свое алиби (человека с днем рождения)?

Приобщить его показания к уголовному делу, допросить в суде.

[zampolit]

Если следователь отказывается принимать во внимание факты, свидетельствующие о невиновности/непричастности, то это проблема не техническая и даже не вполне юридическая.

 Дело в том, что следователь мне сообщила - перед ней поставлена задача: не весить глухаря на отдел - либо дело должно пойти в суд, либо я должен был признать вину, возместить причиненный ущерб и прекратить данное уголовное дело по примирении сторон.
  Второй вариант меня не устраивает, т.к. просто так я не могу выбросить 10 (а точнее 15) тысяч деревянных - у меня их просто нет! К тому же, есть сведения, что подобно прикращенные дела сейчас у нас возобновляют, в связи с проверками.

1. Должен ли эксперт иметь соответствующую лицензию?

Нет, не должен. Таких лицензий не существует.

Но в таком случае - как проверить, может ли данный человек проводить экспертизу. В моем случае - эксперт 1977 г.р., образование высше (какое именно - ), опыт работы с компьютерной техникой 8 лет, стаж работы в должности инженера ИВЦ при железной дороге 5 лет.

2. Как показать в суде, что удаленный доступ позволяет осуществлять сам WindowsXP, без приминения других программных продуктов?

Заслушать показания эксперта.

Эксперт в своем заключении говорит: "Настроек либо программ необходимых для удаленного управления компьютером не обнаружено"
И вообще - эксперт отвечает на поставленные мной вопросы либо отрицательно (не в мою пользу), либо изменяя суть вопроса, либо "Вопрос поставлен некорректно, в связи, с чем ответить на него не представляется возможным" (такой ответ дан на мой вопрос: "Возможно ли использование программ, указанных в заключении эксперта, в радиосети с данного компьютера в целях неправомерного доступа в сеть Интернет?")

3. Являются ли IP и MAC адреса охраняемой законом информации? (и являются ли они коммерческой тайной?)

Нет, не являются.

А конкретнее можно? Я тоже, как юрист и программист в одном флаконе это знаю, но.... как бы это изящнее объяснить судье, чтоб не обидеть.
Цитирую обвинительное заключение:
"   Такие действия zampolit'а, то есть неправомерный (не санкционированный правообладателем) доступ к охраняемой законом "Об информации и защите информации" от 20.02.1995г. №24-ФЗ, ст 139 ГК РФ "Служебная и коммерческая тайна", Указом Президента РФ от 06.03.1997 №188 "Перечень сведений конфиденциального характера" компьютерной информации, а именно информации о сетевых реквизитах - MAC-адресах (... далее указаны сами адреса и их владельцы...), повлекли ее блокирование и нарушение работы сети ЭВМ провайдера, выразившиеся в невозможности подключения законных пользователей к сети Интернет и в искажении данных о принимаемой информации."
   Далее идет привязка к ст.165 УК РФ.
"  Кроме того, воспользовавшись путем обмана для работы в сети Интернет  MAC-адресами законных пользователей платной провайдерской фирмой, zampolit, не имея умысла на хищение чужого имущества, причинил собственникам имущественный ущерб."
  Здесь я отмечу, что провайдер возместил убытки всем, у кого снимались деньги со счетов.

4. Как лучше использовать свое алиби (человека с днем рождения)?

Приобщить его показания к уголовному делу, допросить в суде.

  Брать показания этого свидетеля следователи не соизволили, остается допрос в суде... Кстати, на изъятом системнике есть фотографии цифровиком с этого дня рождения. Хотя... следователь военной прокуратуры этот довод отверг, мотивируя тем, что дату и время съемки можно и изменить. Можно выдернуть других свидетелей (с фото), но мы уезжали последними - нас проважала только виновница торжества.

  Еще один интересный момент: компьютер несколько раз переименовывался, причем были использованы имена как компьютеров, входящих в сеть, так и левые имена. Эксперт делает заключение: "Возможно, что применяя данные параметры, zampolit также неправомерно входил в сеть Интернет."

И еще пара вопросов
1. Как расшифровать записи в логе ZoneAlarm'a? Интересуют такие события, как FWOUT, FWIN, PE. Дело в том, что в логах есть записи свидетельствующие о попытках доступа на компьютер извне.
  На мой вопрос, поставленный перед экспертом: "Имеется ли на жестком диске, представленного компьютера информация, свидетельствующая о попытках неправомерного доступа на данный компьютер?" эксперт дает свое заключение: "Информации свидетельствующей о попытках неправомерного доступа на данный компьютер не обнаружено."
  В заключении эксперта есть распечатки логов.
 
2. Есть ли возможность использования компьютера, включенного в сеть в качестве "промежуточного" для доступа в эту сеть? (Мы на работе, к примеру, используем RAdmin, а как это обяснить в суде, если эксперт заявляет, что для этих целей "необходимо наличие второй сетевой карты или модема, подключенного к данному компьютеру и дополнительное программное обеспечение (Proxy Server) или настроенных в ОС утилит предназначенных для этих целей" и здесь же добавляет "однако, все вышеперечисленное отсутствует на данном компьютере")

3. Если кто-то знаком с программкой SMAC - как быстро можно изменить сетевые настройки (MAC-адрес)? По логам с сервера эти изменения порой проводились со скоростью в 20-30 секунд!!! Если требуется перезапускать систему, то это всяко-разно будет дольше!
На этот мой вопрос эксперт ответил, имзенив смысл вопроса: "Смена MAC адреса на представленном компьютере неоднократно проводилась при помощи установленной программы SMAC. Частота замены MAC адресов зарегистрировано в логах сервера провайдера".

ЗЫЖ Читаю протокол допроса эксперта - человек разумный... Смотрю экпертизу - как-будто подменили.... наводит на мысль - "А он ли эту экспертизу стряпал???". И здесь - же вопрос: Обязательным ли условием является изоляция рабочего места эксперта на время проведения экспертизы? В протоколе он не указывает присутствующих лиц - а если он работал в обычном кабинете, где сидят более одного работника? Влечет ли за собой все это недействительность экспертизы?
Кстати - я написал ходатайство о проведении экспертизы в специализированном экспертном учреждении или в научном центре. Получил отказ, мотивированный тем, что я данные вопросы уже задавал, а повода к недоверию к эксперту (в первые проводившему экспертизу) - нет, т.к. он "имеет 8 лет опыта работы с компьютерной техникой".

[Николай Николаевич Федотов]

Было бы интересно разобраться в вашем деле. Но, к сожалению, изложенные вами сведения немного запутаны и неполны. В такой неясной ситуации я не рискну давать ответы.

Если вам угодно, могу изучить и дать комментарий, но для этого понадобится подробное изложение дела и полный текст экспертного заключения.

По поводу отказа следователя допросить свидетеля - пишите жалобу в прокуратуру и настаивайте. В суде будет поздно.

[zampolit]

Было бы интересно разобраться в вашем деле. Но, к сожалению, изложенные вами сведения немного запутаны и неполны. В такой неясной ситуации я не рискну давать ответы.

Мне и самому интересно разобраться в этом деле.... когда я выдавал свой системник,- я так и сказал следователю, что чем смогу всегда рад помочь, тем более, что и сам ранее работал в прокуратуре (многоуважаемый мною Михайлин Геннадий Степанович - Забайкальский транспортный прокурор - планировал меня на прокурора-криминалиста, да не успели... ликвидация аппаратов транспортных прокуратур 31/03/2001)

Если вам угодно, могу изучить и дать комментарий, но для этого понадобится подробное изложение дела и полный текст экспертного заключения.

С радостью возьмусь сканировать имеющиеся у меня материалы дела. Достаточно ли будет обвинительного заключения, экспертизы (повторной), протокола допроса эксперта?
Куда заслать?

По поводу отказа следователя допросить свидетеля - пишите жалобу в прокуратуру и настаивайте. В суде будет поздно.

  В пятницу попытаюсь заскочить в районную прокуратуру с данным вопросом.
   Предварительное следствие окончено и дело уже передано в прокуратуру, сказали, что суд состоится где-то в конце мая. Мой защитник сразу сказал, что в прокуратуре вникать в суть дела никто не будет. Думаю сходить к своим, в прокуратуру (областную и транспортную) и в суд - пусть, по знакомству, челом бьют, чтобы к делу отнеслись серъезнее - изучили все материалы.

[Igor Michailov]

Случай тяжелый.  

Николай Николаевич, Вы бы взялись ответить на вопрос (в рамках заключения эксперта):
"Возможно ли использование программ, указанных в заключении эксперта, в радиосети с данного компьютера в целях неправомерного доступа в сеть Интернет?"?

[Антон Серго]

"Вопрос поставлен некорректно, в связи, с чем ответить на него не представляется возможным" (такой ответ дан на мой вопрос: "Возможно ли использование программ, указанных в заключении эксперта, в радиосети с данного компьютера в целях неправомерного доступа в сеть Интернет?")

Я еще предположу, что был такой эксперт, который понял "радиосеть" в ретро-смысле, потому и ответ такой...

[Igor Michailov]

Да-да. Сам термин "радиосеть" можно истолковать двояко (если не трояко). Ведь есть еще и проводное радио - чем не "радиосеть".


Мне больше приколол термин "неправомерный доступ". Чего-ж тогда эксперту  в выводах рассусоливать. Сразу писать - Виновен. Посадить на три года.

Четко, Ясно и Понятно всем участникам процесса.

[zampolit]

Перечитал статьи и обсуждения по теме "О доказательственном значении лог-файлов" и что-то легче стало на душе!
   Все логи (точнее выдержки из логов) были изготовлены и переданы следствию ПРОВАЙДЕРОМ. Сервер у них никто не осматривал, и тем более не изымал/опечатывал. Причем эти записи были переданы до возбуждения уголовного дела в отдел "К" вместе с заявлением, что некто, под логином zampolitа пользуется И-нетом, применяя сетевые настройки других пользователей. Дальше эти записи пополнились до дня изъятия у меня компьютера.
   Вопрос по ситуации - можно ли использовать эти сведения в качестве доказательства?
   Все основные выводы эксперт делает на основании этих данных (выдержек из лог-файлов) примерно следующим образом:
  "По логам программы ZoneAlarm, установленной у пользователя, видно, что пользователь zampolit выходил в Интернет такого-то числа с 20 до 23 ч. В это же время, по данным лога, на сервере провайдера был только один пользователь zampolit, который в период с 21 до 23 ч. перерегистрировался, изменив свой MAC-адрес на MAC-адрес пользователя pupkin".
  Причем в логах "от провайдера" показано, что pupkin тут же регистрируется неудачно, а следующей секундой его регистрация проходит успешно. В последующих записях лога фигурирует только пользователь zampolit (с MAC-адресом pupkin'a), а pupkin уже не просматривается. (Может такая "удачная" выборка?)

Итого - на повестке дня два вопроса:
1. Можно ли в данном случае признать представленные логи доказательсвтом?
2. Является ли вообще в данном случае экспертиза правомерной?

И на закуску - можно ли признать лог-файл провайдера доказательством сейчас, если соблюсти все формальности, учитывая тот факт, что лог-файл постоянно изменялся на протяжении всего времени, включая настоящее время?

ЗЫЖ: отсканировал в FineReader'e все материалы по делу - объемчик вышел ОГО-ГО!!! Распознать нет возможности - качество копий не фонтан - оставил в картинах (серых - так лучче видно;-) ) Самые интересные моменты из заключения эксперта могу попыхтеть и набрать. Само заключение небольшое - в основном картинки (скриншоты). Кстати, - а не является ли это нарушением предъявляемых требований к заключению эксперта - все картинки по ходу экспертизы, а должны быть в приложениях?

[zampolit]

   Вот накидал вопросы для эксперта в суде. Получилось, по-моему, слишком много. Прошу посмотреть, высказать свое мнение, исключить лишние, выстроить их в более оптимальном порядке. В некоторых вопросах я дал пояснения.  

1. Ваше образование?
2. Чем Вы можете подтвердить свою квалификацию?
3. Обладаете ли Вы достаточными знаниями в области сетевой безопасности для того, чтобы проводить экспертизы подобного рода?
4. Доводилось ли Вам ранее проводить компьютерные-технические экспертизы? Выступать в роли специалиста?
5. От кого и каким образом Вы приняли поручение о производстве экспертизы?
6. Что Вам было передано для проведения экспертизы (предметы, документы)?
7. Каким образом проводилась экспертиза?
8. С помощью каких программных и технических средств Вы проводили экспертизу?
9. Является ли Ваше программное обеспечение лицензионным? (представьте номера лицензий каждого продукта)
10. На основании чего строилось Ваше заключение?
11. Каков уровень владения иностранными языками (конкретно - английским)?
12. Считаете ли Вы себя компетентным в переводе описания программ с английского языка на русский? (Если «Да», то каким образом слово recovery, что в соответствии с англо-русским словарем переводится как “восстановить”, в Вашем переводе означает “взломать”, которому в английском языке соответствует слово crack или hack?)
13. Являетесь ли Вы специалистом в расшифровке лог-файлов программы ZoneAlarm?
14. Объясните, как определяются события, которые записаны в лог-файле программы ZoneAlarm в виде FWOUT, FWIN, PE и следующими далее параметрами?
15. В своем заключении Вы указали, что по записям в лог-файле программы ZoneAlarm Вы нашли информацию, о том, что пользователь использовал указанные в заключении программы. Каким образом это видно? Какие именно программы использовались? Использовалась ли программа SMAC?
16. Если использование программы SMAC не было отображено в лог-файла программы ZoneAlarm, то каким образом Вы делаете заключение о том, что смена MAC адреса производилась, и именно этой программой?
17. Почему Вы утверждаете, что информации о попытках неправомерного доступа на данный компьютер не обнаружено? Не указана ли эта информация в лог-файле программы ZoneAlarm? Уточните, что означает событие FWIN.
18. Вы указали, что настроек или программ, необходимых для удаленного управления компьютером не обнаружено. Какие именно программы Вы знаете? Какие настройки Вы проверяли?
19. Имеет ли установленная операционная система WindowsXP Pro средства удаленного доступа и управления? Проверили Вы их настройку? Каким образом?
20. В установленной ОС имеется учетная запись по умолчанию, позволяющая получить доступ на уровне администратора? Она включена? (а она, черт побери, ВКЛЮЧЕНА!!! Я это точно знаю!!!! Сам ей пользовался, т.к. комп однажды подзагнулся и с моей учетной записью  не запускался - пришлось входить как <administrator>)
21. В своем заключении Вы сказали, что для того, чтобы использовать данный компьютер в качестве промежуточного, необходимо дополнительное оборудование и специальное программное обеспечение, или настройка встроенных в ОС утилит предназначенных для этих целей. Вам известно, что данный компьютер имеет встроенную сетевую карту? Почему Вы утверждаете, что на компьютере нет дополнительного оборудования? Какие программы для подобных целей Вам известны? Какие настройки ОС и каким образом Вы проверяли?
22. В заключении Вы абсолютно исказили смысл вопроса: «С какой скоростью возможна смена MAC-адреса» и ответили на придуманный Вами вопрос «С помощью какой программы и как часто производилась смена MAC-адреса». Ответе на поставленный перед Вами вопрос: «С какой скоростью возможна смена MAC-адреса»
23. Вы утверждаете, что смена MAC-адреса проводилась при помощи программы SMAC. Какими фактами это подтверждается?
24. Поясните: что такое MAC-адрес и IP-адрес и в чем их отличия? Возможно ли на самом деле изменить MAC-адрес? Если да, то как? Если программой SMAC, то: Каким образом это делает программа SMAC?
25. В заключении Вы проигнорировали поставленный перед Вами вопрос: «Возможно ли использование программ, указанных в заключении эксперта, в радиосети с данного компьютера в целях неправомерного доступа в сеть Интернет». Я прошу Вас ответить на данный вопрос, так как Вы утверждаете в своем заключении что «обнаруженные программы для поиска и расшифровки паролей, а также сканирования сетей активно использовались»
26. Зачем пользователю проводить поиск и расшифровку паролей? (если они не требуются для получения доступа в сеть)
27. Какое отношение имеют найденные программы к неправомерному доступу в сеть в данном случае?
28. В заключении вы указали, что «на жестком диске обнаружены IP и MAC-адреса других пользователей провайдера». В штатном режиме работы в сети данная информация может оказаться у пользователя? Если нет, то как объясните работу стандартной команды Windows <arp -a> и выдаваемую по этой команде информацию?
29. Можно ли встроенными средствами Windows получить информацию о пользователях, находящихся в сети? (IP/MAC адреса, имена пользователей/компьютеров). Является ли данная информация доступной для третьих лиц?
30. Возможен ли доступ к информации, передаваемой и принимаемой беспроводной сетевой картой третьими лицами? (стр. у/д 150 - ответ «ДА»)
31. Возможен ли доступ к компьютеру, на котором установлена беспроводная сетевая карта третьими лицами?
32. Возможно ли выявить сетевые настройки посредством перехвата радиосигнала?
33. Возможно ли нахождение в сети двух пользователей с одинаковыми MAC-адресами? (стр. у/д 262 - распечатка лога с сервера - два пользователя с одним MAC - адресом!!!!)
34. Что такое лог-файлы? Возможно ли исправить лог-файлы? Возможно ли произвольное изменения лог-файлов в результате сбоя в работе оборудования? (А сбоев в работе сервака было вал!!!)