27.11.2003

Как делают Хакеров

Меня зовут Гуляев Георгий Михайлович. Я кандидат физ-мат наук, технический директор фирмы Мигусофт (Барнаул). Учитывая тематику Вашего сайта и, в частности, освещение на нем проблем безопасности сетей решил поведать Вам свою историю о том, как из моего сына сделали хакера. Надеюсь, что она окажется интересной для посетителей Вашего сайта.

Меня зовут Гуляев Георгий Михайлович. Я кандидат физ-мат наук, технический директор фирмы Мигусофт (Барнаул). Подробности обо мне можно найти на моем сайте: www.altailand.ru, а о фирме на www.migusoft.ru.

Учитывая тематику Вашего сайта и, в частности, освещение на нем проблем безопасности сетей решил поведать Вам свою историю о том, как из моего сына сделали хакера. Надеюсь, что она окажется интересной для посетителей Вашего сайта.

Так вышло волею судьбы, что начиная с апреля 2003 года я вынужден был в связи с обвинением в адрес моего несовершенного сына расследовать так называемое дело хакера, затем участвовать в качестве законного представителя сына на следствии и в суде.

Дело это фактически искусственно созданное службой безопасности стороны обвинения совместно с органами милиции, абсурдное с точки зрения здравого смысла явилось как бы тестом для проверки нашей правоохранительной системы, а именно органов следствия и судебных органов.

Определенную сложность представляло отсутствие необходимых знаний в области компьютерных технологий у следователя, прокурора, судьи. Я старался насколько это возможно способствовать их обучению, ибо правда нам была выгодна - мы основали свои показания на правде. Стороне же обвинения, построившей свои показания на лжи, невежество этих людей было наруку.

Обвинение было основано на вещественных доказательствах: логах ftp сервера на машине под управлением FreeBSD 4.1 и на файле clients.dbf c с одним строковым полем длиной 50 символов, которые в суде весьма подробно исследовались.

Кратко остановлюсь на основных фактах и событиях.

В нашем славном городе Барнауле есть такая организация издательский дом Алтапресс - местный монополист в области печатных средств массовой информации. У них имеется выделенная линия до провайдера Алтайтелеком и сервер с FreeBSD, на котором размещен веб-сайт www.altapress.ru и ftp-сервер ftp.altapress.ru.

Мой сын (в конце 2002 года, когда произошли события ему было 17 лет) не является каким-то специалистом в компьтерных технологиях, ему можно скорее дать характеристику как "продвинутый" пользователь. Подвело его в этой ситуации обыкновенное мальчишеское любопытство. Интересы его еще пока переменчивы и в тот момент времени он заинтересовался темой защиты и атаки компьютерных сетей, скачал разные программки для тестирования сетей и начал запускать их случайно выбирая сервера в интернет. Проверив что сервер надежно защищен, парень терял к нему интерес и смотрел следующий. Так он случайно вышел на сервер ftp.altapress.ru. В начале ноября 2002 года он протестировал программой Brutus ftp сервер Алтапресса. Естественно, никакого доступного входа эта программа не нашла. Однако в Алтапрессе появление множества новых строк в логе фтп сервера было замечено, они решили, что кто-то атакует их сервер и обратились в милицию. Через провайдера установили номер нашего телефона.

Далее, как я понимаю, для того чтобы поймать человека, который пытался подобрать пароль к ftp серверу они поставили ловушку, то есть создали на ftp сервере пользователя admin с одним из паролей (wizard), которые перебирала программа Brutus.

10 декабря 2002 года мой сын вновь запустил на своем компьютере программу Brutus, которая теперь нашла вход с именем admin и паролем wizard. Войдя на сервер, сын не обнаружил ни одного файла в директории пользователя admin.

11 декабря 2002 года администратор сети Алтапрес со своего компьютера в локальной сети Алтапресс присоединившись к серверу под именем winadmin закачивает файл clients.dbf в директорию пользователя admin. Через 1 минуту 4 секунды после этого, присоединившись к ftp серверу с именем admin, администратор проверяет этот файл на доступность пользователю admin, а именно: скачивает его на свой компьютер и затем удаляет. В логе зафиксировано, что через 15 секунд после удаления администратор еще раз успешно скопировал файл clients.dbf на свой компьютер. На суде он утверждал, что с помощью telnet за эти 15 секунд восстановил файл из другой директории после его удаления.

12 декабря 2002 года сын опять входит на ftp сервер Алтапресса, видит там файл clients.dbf и скачивает его на свой компьютер. По утверждению сына он еще несколько раз входил на сервер, но ничего больше там не делал и файла clients.dbf не удалял. В логе же имеются две строки идущие подряд: копирование файла clients.dbf и его удаление. Откуда взялась строка с удалением файла осталось неясным, я, исходя из логики событий, предполагаю, что они сами ее вписали, суд же для облегчения приговора решил, что удаление было совершено случайно.

Дальше все как положено: заводится уголовное дело, материальный ущерб от утраты файла clients.dbf оценивают в 270600 рублей, в результате обыска изымается компьютер, проводится нужная обвинению экспертиза и т.п. Принадлежащие Алтапресс газеты "Свободный Курс" и "Молодежь Алтая" печатают заметки о событии с броскими заголовками "Задержан хакер" и "Хакеру-бой!". На форуме интернет-сайта Алтапресса заводится специальная тема для обсуждения этого события. После публикации агентством "Банкфакс" статьи с названием "ФИГУРА ХАКЕРА, ВЗЛОМАВШЕГО КРУПНЕЙШИЙ НА АЛТАЕ ИЗДАТЕЛЬСКИЙ ДОМ "АЛТАПРЕСС", ОКУТЫВАЕТСЯ НЕПРОНИЦАЕМОЙ ТАЙНОЙ", на форуме Алтапресса разгорается острая дискуссия. В этой дискуссии веб-мастер Алтапресса Бушаев фактически признает, что это была ловушка, цитата1: "никто и не отрицает, что это публичная порка", цитата2: "понты... понты... вот будет суд там тебе все расскажут... ты сам не понимаешь о чем просишь... кто тебе сейчас все расскажет... freeman дык его СБ сразу кастрирует... незря наверное потсака два месяца на живца ловили... теперь дать ему сняться с крючка".

Найденный на компьютере сына файл clients.dbf имеет формат базы DBF с одним строковым полем ORG, длиной 50 символов. Он содержит 2294 строки, 30 из которых, не содержат ни одного символа. В строках одни наименования каких-то фирм или организаций. Это как бы телефонный справочник, у которого обрезали всю информацию, включая номера телефонов, оставив одни только названия. Дата файла 11.12.02 совпадает с датой последнего изменения записей в базе.

В результате судебного разбирательства удалось добиться понимания и сочувствия и у прокурора и у судьи и более-менее исследовать вещественные доказательства. Прокурор, не желая брать грех на душу, несколько раз инициировала процесс примирения сторон, который заканчивался ничем, поскольку сторона обвинения хотела денег. Сумма, которую просил Алтапресс, во время переговоров все время снижалась и с 270600 дошла до 6000 рублей. Мы были согласны на примирение сторон без денежных выплат друг другу, однако Алтапресс это не устраивало.

Судья и прокурор оказались всего лишь винтиками системы, поэтому в результате прокурор попросила 1 год условно, а судья дала, видимо, минимально возможный срок пол-года условно. То есть на нашем примере мы увидели, что никто не был заинтересован в объективном расследовании и выиграть суд без вранья, давая правдивые показания, практически невозможно. Противоположная сторона, пытаясь скрыть правду о событиях конца 2002 года, безбожно врала, попадалась на противоречиях, однако ей все сходило с рук.

У меня есть все материалы этого дела, включая электронные копии вещественных доказательств, есть также некоторые документы, собственного расследования, которые суд отказался принять в дело из-за процессуальных норм. Кроме этого, я вел свои записи в зале суда и записал наиболее интересные показания большинства свидетелей и экспертов. Если тема "Как создают хакеров" может представлять интерес для Вас и посетителей Вашего сайта, то я готов сообщить подробности и предоставить необходимые материалы для последующей публикации Вами статьи.

C уважением, Георгий Гуляев.

или введите имя

CAPTCHA