CC BY
27
Продолжаем публикацию документальной повести В. Н. Черкасова «Дело ”ба-лаковских" хакеров. Факты и размышления».
Суть повести не сводится к описанию и оценке конкретного, пусть очень неординарного преступления. Задача состоит в ином - на данном примере рассмотреть основные тенденции компьютерной преступности, в том числе: краткую историю её появления и развития, проблемы расследования и доказывания (особенно экспертизы - этого главного камня преткновения), правовую оценку деяний (не только по данному делу), общественную реакцию (очень неоднозначную) и пр.
Автор повести - Черкасов Валерий Николаевич - кандидат технических наук, доктор экономических наук, профессор, член-корреспондент Международной академии информационных процессов и технологий,
Заслуженный деятель науки Российской Федерации -17лет посвятил оперативной работе в подразделениях по борьбе с экономической и организованной преступностью, 19 лет - преподавательской работе. В настоящее время профессор кафедры информатики и применения компьютерных технологий в раскрытии преступлений Саратовского юридического института МВД России, профессор кафедры теоретических основ компьютерной безопасности и криптографии Саратовского государственного университета им. Н. Г. Чернышевского.
дело «Блллковских» хакеров. факты и размышления
Продолжение, начало в номере № 2 (5) за 2009 г. Глава 1. СУТЬ ДЕЛА И ДЕЙСТВУЮЩИЕ ЛИЦА
Место действия — Великобритания
или-поживали в доброй старой Англии несколько весьма благополучных компаний: «Канбет Спортс Букмекерс Лтд» («Canbet Sports Bookmakers Ltd»)1, «Бетинтернет» («Веtinternet.com PLC»)2, «Стэнли Рэйсинг Лимитед» («Stanley Racing Limited»)3, «Спортинг Ексчейндж Лтд» («The Sporting Exchange Ltd»)4, «Блю Сквэа Лтд» («Blue Square Ltd»)5 и ряд других.
Жили себе спокойно, никого не трогали. Нельзя сказать, что они приносили обществу очень большую пользу. Товаров они не производили, благотворительностью не баловались. Занимались они, как сказал бы небезызвестный
О. Бендер, «сравнительно честным отъёмом денег у населения». Впрочем, как и указанный герой, законы они чтили, налоги, судя по материалам уголовного дела, платили исправно.
Занимались эти компании букмекерст-вом. Сделаем маленькое отступление и поясним тем, кто не интересовался ранее этим видом «спорта», в чём суть этого дела. Букмекер (англ. bookmaker) - профессия человека, занятого приёмом денежных ставок и выплатой выигрышей при игре на скачках и бегах, на результаты различных спортивных событий, кроме того, возможен приём ставок на исходы политических и культурных событий.
По традиции, испокон веков местом, где делались спортивные ставки, был ипподром. Так повелось ещё со времён Римской империи. Спустя некоторое время, к ипподрому прибавились петушиные бои - развлечение для плебеев. Но только лишь в XIX в. самые разные виды спорта начали становиться предметом тотализатора. Вскоре практика показала, что ставить можно на всё, что бегает, прыгает, ез-
1 URL: http//www.canbet.com (дата обращения:01.01.2004); URL: http// www.canbet.co.uk (дата обращения:01.01.2004); URL: http//www.canbet.com.au (дата обращения: 01.01.2004).
2 URL: http//www.bеtinternet.com (дата обращения: 01.01.2004).
3 URL: http//www.stanleybet.com (дата обращения: 01.01.2004).
4 URL: http/www.betfair.com (дата обращения: 01.01.2004).
5 URL: http//www.hardrockcasino.com (дата обращения: 01.01.2004).
дит и летает. Главное условие: собрать как можно больше зрителей и поклонников. Тогда же зародилась профессия букмекера - профессионального спорщика. Произошло это в той самой Великобритании, которая и сейчас удерживает первое место в мире как по числу букмекерских контор, так и по числу игроков на тотализаторе.
Только не надо представлять себе современные букмекерские конторы в виде неких деревянных будочек на ипподроме, где кассир принимает в окошке мятые рубли (фунты стерлингов). Ныне вместо будки - сайт, который занимается приёмом ставок от клиентов (букмекерской деятельностью) в режиме on-line, полностью основываясь на постоянном высокоскоростном доступе к ресурсам глобальной сети Интернет. Так, например, Web-сервер вышеупомянутой британской компании «Бетинтернет» («ВейМете^сот PLC») принимает ставки со скоростью 2 мегабайта в секунду.
Следует попутно отметить, что профессия букмекера тесно пересекается с математикой, комбинаторикой, теорией вероятности и статистикой. Главная задача букмекера - не проиграть. Он должен правильно выстроить «линию», то есть, учитывая массу нюансов, определить фаворита и аутсайдера в игре и выставить соответствующие коэффициенты. Как известно, вероятность наступления любого заранее неизвестного события варьируется в пределах от о (событие невозможно) до 1 (событие достоверно, то есть точно наступит) либо, если смотреть в процентах, от о % до 100 %. Любое событие, на которое организуется приём ставок, рассматривается букмекером через призму вероятностей наступления различных «исходов» данного события. Например, каждый любитель спорта знает, что футбольный матч может закончиться либо победой одной из команд, либо ничьей, и данные исходы полностью исчерпывают возможные варианты развития футбольного матча (в рамках правил), так как сумма вероятностей данных исходов равна единице (или 100 %). Таким образом, для приёма ставок на результат футбольного матча букмекер должен рассчитать вероятности победы первой команды, ничьей и победы второй команды. Для такого расчёта используется статистика выступления команд,
11б
которая корректируется исходя из следующих дополнительных факторов: список травмированных, мотивация команды и игроков на матч, трансфертная ситуация, климат в команде, цели клуба в турнире, матч которого анализируется, место, где будет сыгран матч (в аспекте дальности перелёта, «своих» трибун, домашней лояльности арбитров и т. п.) и другие, часто не менее значимые факторы.
Разумеется, когда речь идёт о ставках на культурные, политические и прочие события (кто получит «Оскара»? кто победит на Евровидении? кто станет губернатором Калифорнии?) проводится ещё более серьёзный анализ факторов, влияющих на результат. А сейчас именно такого рода события всё чаще становятся объектом ставок.
В результате такого анализа букмекер получает значения вероятностей исходов события (для дальнейшего примера возьмём следующие данные: с вероятностью 0,5 (50%) победит первая команда, с вероятностью 0,3 (30%) будет ничья и с вероятностью 0,2 (20%) победит вторая команда). Если теперь поделить 1 на каждое из значений, то мы получим коэффициенты, которые характеризуют отношение вероятности каждого исхода к вероятности 100% наступления данного исхода (так как 1 - это вероятность 100% ). Данные коэффициенты и являются своеобразными мультипликаторами, выравнивающими шансы наступления каждого из исходов события при приёме ставок. Используя именно эти коэффициенты, букмекер принимает ставки.
Приведём для иллюстрации лишь один пример из современной российской букмекерской практики. При ставках на результаты выборов на Украине основные кандидаты имели следующие коэффициенты: В. Ф. Янукович - 1,67; Ю. В. Тимошенко - 2,07; В. А. Ющенко - 27, 6.
Отметим, кстати, что в России первые букмекерские конторы появились примерно в 1992 г., разумеется, в Москве. В настоящее время в на российском букмекерском рынке работают более двадцати мировых и европейских русскоязычных он-лайновых топ-контор (таких как Pinnacle Sports, Unibet, Bwin, Expekt, Gamebookers, William Hill) и сотни российских (ФОН, Марафон, Betcity, Гол+Пас, ТоТо и другие).
Но вернемся к описанию событий. Дела шли своим чередом. Народ делал ставки и иногда выигрывал. Букмекеры стригли свои купоны, выигрывая всегда (уж свои-то 8% от суммы ставок - обязательно!). При этом выигрывали они, судя по косвенным данным, имеющимся в уголовном деле, немало. Так, например, приостановка деятельности компании «Ads Dot Com» на
десять дней (с 6 марта до 16 марта 2004 года) нанесла ей документально зафиксированные убытки на сумму 350 000 долларов США (т. е. тысяч по 35 в день). А «Canbet Sports Bookmakers Ltd» каждый день простоя обошёлся в 200 000 долларов! Правда, тут особый случай: именно в этот период проходили какие-то особо значимые для жителей Британии то ли бега, то ли скачки.
Длилось это благополучие не один год, но не подозревали благонамеренные британские букмекеры, что на каждого любителя «халявы» найдётся ещё такой же, но более «крутой»1. И что опасность придёт оттуда, откуда меньше всего ждали - из далекой «Раши».
Место действия — Россия
Проживали в разных городах нашей страны три молодых человека, до поры до времени не знакомых друг с другом. Однако что-то общее было в их интересах, характерах, устремлениях.
Познакомимся с ними поближе.
Первый из них И. в. Максаков (ник
- еХе). Родился он 25 февраля 1983 года в городе Балаково Саратовской области. Там же и проживал до определённого момента. Юноша вырос в простой, но вполне и благополучной семье (отец - автослесарь, мама - служащая). Учился на четвёртом курсе Балаковского института техники. Ещё в школе начал увлекаться программированием.
Именно И. Максаков (по версии следствия, доказанной позднее на судебном заседании) и организовал преступную группу, познакомившись, естественно, он-лайн, с ещё двумя молодыми людьми - жителем Астрахани А. Петровым и уроженцем Петербурга Д. Степановым.
Максаков создал компьютерную програм-му-шпион, с помощью которой хакеры собирали информацию об английских электронных казино и букмекерских конторах.
Второй фигурант Д. в. Степанов (ник -LichnoSam или D-play) родился 2 июля 1981 года в городе Санкт-Петербурге. Работал главным оператором-наладчиком авиажелезнодорожных касс в ООО «Отдых» города Санкт-Петербурга.
Третий - А. А. Петров родился 2 февраля 1982 года в городе Астрахани. Он закончил Саратовскую Государственную Академию права и работал какое-то время, продавцом-консультантом в ПБОЮЛ В. М. Остапчук город Астрахань, а затем системным администратором.
1 Автор не навязывает читателю своего мнения о тотализаторах, букмекерах и прочих игровых «предприятиях». У него лично, как видно из изложения, они не вызывают особых симпатий. А вот, что думают об этом массы интернет-сообщества, мы подробно проанализируем в главе «Интернет «за» и «против».
Как было доказано в процессе следствия, каждый их фигурантов специализировался на определённом этапе преступной деятельности. А конкретно роли фигурантов распределялись следующим образом.
А. А. Петров должен был предоставлять в необходимое время принадлежащую ему сеть компьютеров («зомбисеть») для осуществления атак на удалённые серверы.
И. В. Максаков дорабатывал вредоносные компьютерные программы, предназначенные для организации распределённого отказа, встраивая специальные программы для ОС Windows.
Д. В. Степанов занимался мониторингом при подготовке и проведении атак, изучением новых вирусных программ для последующего их использования членами группы
Входили в группу (а по другой версии
- были организаторами) жители Пятигорска Т. Арутчев1 с женой М. Зарубиной (ник - Stran или XXX). Они закончили Лингвистический университет, в совершенстве владели английским и испанским языками, два года работали в США. По возвращении 33-летний Т. Арутчев увлекся Интернетом, хотя особыми познаниями в этой сфере не обладал. Под «ником Stran или XXX» он и познакомился на хакерском форуме с астраханцем А. Петровым. Именно Арутчев с супругой, используя свои связи, собрали первичную информацию об электронных казино и букмекерских конторах Великобритании.
В группу входили также «почтовые ящики» - лица, на имя которых шантажируемые компании перечисляли «выкуп». В частном случае, например, при вымогательстве у компании «Канбет Спортс Букмекерс Лтд» это были лица, проживавшие в Латвии.
Вот фрагмент из «инструкции», полученной компанией от вымогателей:
«каждый из указанных граждан должен получить:
1. Наталья ЕВДОКИМОВА $1900, $1100 и $1500;
2. Кристина ФЕДОТОВА $1800, $1200 и $1300;
3. Сергей СИМУТКИНС $1700, $1300 и $1700;
4. Снежана СОЛИЖЕНКО $1600, $1400 и $1800;
5. Ирина КЕДИКА $1500, $1500 и $1400;
6. Ольга ДВОРЖАДКИНА $1400, $1600 и $1600;
7. Маргарита ДОЛГИА $1300, $1700 и $1200;
8. Игорь АНТЖУСИНС$1200, $1800 и $1500;
9. Андрей ВАРЕНИКС$1100, $1900 и $1000».
Конечно, реальные связи группы были значительно шире. Определённое представление
о разветвлённости деятельности преступной группы может дать следующая схема из материалов уголовного дела (фрагмент).
1 Дело о Т. Арутчеве было выделено в отдельное производство и в анализируемом нами процессе не рассматривалось.
При задержании всех членов группы присутствовали сотрудники Скотланд-Ярда. Одновременно в Латвии полиция арестовала ещё шестерых пособников группы, участвовавших в переводе денежных средств. В мае прошлого года МВД отрапортовало о завершении расследования, дело поступило в городской суд Балакова, по месту жительства организатора
Анализ всех приведённых здесь связей не входит в нашу задачу. Мы представили главных фигурантов, которые проходили в «Балаковском деле» в качестве обвиняемых: И. Максакова, Д. Степанова и А. Петрова.
А теперь познакомимся с теми людьми, которые сумели не только раскрыть это преступление, но и убедительно, аргументировано доказать (впервые в судебной практике по делам такого рода!) вину обвиняемых.
1. Э. Г. Крокер - детектив констебль Национального Управления по борьбе с преступлениями в сфере высоких технологий МВД Великобритании.
Он с 25 октября 2003 года возглавлял расследование дела, которое называлось в Англии операция «Каттерик» - об организации распределённого отказа в обслуживании (DDOS) и вымогательстве денежных средств у девяти Британских игровых компаний, осуществляющих свою деятельность в сети Интернет. Детектив-констебль проделал большую работу. В расследовании принимали активное участие сотрудники Интерпола, оказывали определённую помощь и специалисты ФБР. Следует, однако, объективно признать, что хотя и был собран достаточно большой материл по делу, доказать вину преступников ему так и не удалось.
2. Невозможно преуменьшить в этом процессе роль Государственного обвинителя Саратовской областной прокуратуры а. Пахомова, который сумел довести до логического завершения сложнейшее дело, прогремевшее на весь мир. Недаром его доклад на Конгрессе по борьбе с преступностью в сфере высоких технологий в Лондоне в 2007 г. вызвал всеобщий интерес.
Главную роль в раскрытии этого уникального уголовного дела сыграли эксперты - специалисты по компьютерным технологиям. Преступление, совершённое виртуальным способом в киберпространстве2, потребовало принципиально новых доказательств, которые могли быть получены только методами компьютернотехнической экспертизы. А исход дела решала квалификация экспертов. Для дальнейшего анализа хода расследования, судебного заседания, а в особенности, оценки результатов этих
2 Терминология, предложенная профессором А. Мещеряковым.
процессуальных действии, которые оспаривались в очень жаркой дискуссии в Интернете1, познакомимся подробнее с этими экспертами.
1. И. Ю. Юрин представляется сам.
«Я родился 24 октября 1980 года в городе Саратове. В школу меня отдали в 6 лет, и я застрял в средней школе № 21 города Саратова на десятилетие. Помимо того, что мой класс был математическим, у нас ещё были дополнительные предметы: экология и экономика, поэтому в моём аттестате записей больше, чем у любого другого школьника. Когда мне было 9 лет, я впервые подошёл к компьютеру и с тех пор от него не отхожу. Все десять лет проучился на "отлично". Поскольку все школьные предметы мне давались одинаково хорошо, то в третьей четверти я ни разу не бывал по субботам в школе, - вместо этого я защищал честь школы на
олимпиадах по самым различным предметам: литературе, биологии, географии, химии, физике, математике, информатике (олимпиады по некоторым предметам проводились в один день, поэтому приходилось идти на олимпиаду по тому предмету, преподаватель которого оказывался более настойчивым). Несмотря на такой разброс дисциплин, я неоднократно занимал первые места не только на районных, но и на областных олимпиадах. Школу я окончил с золотой медалью, но поступить в университет мне помогла не она, а победа на областной олимпиаде по математике. Так я стал студентом механико-математического факультета СГУ. На первом курсе я написал объёмную курсовую по компьютерным вирусам, и через полгода меня пригласили работать в лаборатории компьютерной безопасности. Именно тогда я понял, что хочу связать свою жизнь с наукой и новейшими информационными технологиями. Пройдя ступени ''лаборант'', ''старший лаборант'', ''инженер'' и защитив диплом на
тему "Верификация подлинности цифровых объектов'', я стал заведующим лаборатории компьютерной безопасности. С 2003 года преподаю на учебных сборах переподготовки сотрудников МВД России и Министерства юстиции по судебной компьютерно-технической экспертизе в Саратовском юридическом институте МВД России. С 2004 года провожу компьютерные экспертизы для прокуратуры и отдела "К" МВД России. В 2005 году прошёл обучение в Центре переподготовки и повышения квалификации специалистов по информационной безопасности по программе ''Основы информационной безопасности". Сфера моих научных интересов: борьба с компьютерными вирусами и вредоносными программами, разработка эвристических алгоритмов, исследование особенностей файловых форматов, а также иные направления компьютерной безопасности».
2. А. Н. Яковлев
Родился 11 октября 1962 года Закончил военный инженерный институт им. А. Ф. Можайского (город Ленинград), квалификация по диплому - «военный инженер-математик», специальность по диплому - «Математическое обеспечение автоматизированных систем управления». Имеет богатый опыт проектирования, внедрения и эксплуатации сложных программных комплексов.
С 1994 года одним из первых в России занялся разработкой теоретических и практических основ нового вида судебной экспертизы - компьютерно-технической экспертизы, работая на кафедре Информатики и применения компьютерных технологий в раскрытии преступлений Саратовского юридического института МВД России. В 2000 году защитил
кандидатскую диссертацию по криминалистике на тему «Теоретические и методические основы экспертного исследования документов на ма-
1 В дальнейшем мы приведём пример прямого интернет-диалога критиков и одного из экспертов.
шинных магнитных носителях информации»1. Является экспертом лаборатории прикладных исследований по проблемам борьбы с преступлениями в сфере компьютерной информации, созданной решением Учёного совета СЮИ МВД России и внештатным экспертом Экспертно-криминалистического управления ГУВД Саратовской области. Избран членом Учебно-методического объединения вузов России по специальности 350600 «Судебная экспертиза».
В сферу научных интересов А. Н. Яковлева входят проблемы информационной безопасности. С 1999 года работает (по совместительству) доцентом на кафедре математической кибернетики, а с 2002 года - доцентом на кафедре теоретических основ компьютерной безопасности и криптографии Саратовского государственного университета имени Н. Г. Чернышевского.
С 2001 года под руководством А. Н. Яковлева на базе лаборатории прикладных исследований по проблемам борьбы с преступлениями в сфере компьютерной информации Саратовского юридического института МВД России с использованием имеющегося массива экспертных заключений начались индивидуальные стажировки экспертов экспертных подразделений системы МВД России.
А теперь рассмотрим обстоятельства дела. Каким образом, собственно, происходил процесс шантажа букмекерских компаний?
Основным инструментом, который использовали преступники, была DDOS-атака.
Примечание. DDOS-атака (распределённый отказ в обслуживании). Хакеры рассылают по сети специальные программы-боты, которые проникают в компьютеры ничего не подозревающих пользователей и «засыпают». Потом по сигналу мошенников боты активируются и начинают массированную атаку на сайт-жертву. На него сыплется миллион запросов, и он «зависает». Если это сайт, к примеру, интернет-магазина, то компания не может принимать платежи и заказы на товары. Позже аферисты присылают сообщение о совершенной DDOS-атаке и требуют определённую сумму для возобновления нормальной работы.
Первоначально И. Максаков просто пытался найти заказчиков на разработанные им вредоносные программы. Насколько успешной была такая деятельность, следствию не удалось выяснить, но сам факт попыток такого рода зафиксирован документально.
1 Научными руководителями этой диссертации были автор этих строк и доцент Шнайдер А. А.
Вот электронный документ, обнаруженный в результате экспертного осмотра компьютера одного и обвиняемых.
фрагмент экспертного заключения2
Приложение S. Содержимое файла с именем «694408-dd.txt», обнаруженного на компакт-диске (SWISSTEC, CD-R, 700 Мб, 30307590322»).
Добрый день Уважаемые господа.
Вы серьезный проект в сети и увас есть конкуренты, но зачем они вам нужны? Мы поможем вам вырубить сайт конкурента с
помощью ддос атаки на столько времени на сколько вы захотите. Зачем вам делить ваш бизнес с кем то будьте первыми и не
имейте конкурентов. А может быть у вас есть враги и вы хотите им отомстить, тогда опять нет нечего лучше чем убить сайт врага.
Если вас заинтересовала наша услуга, то вы можете связаться с нами по icq 694408.
Чтобы вы убедились что мы не кидалы, мы вам предоставим тест наших улуг.
Ждем вас у себя в асе.
ICQ 694408
jcdesign777@hotmail.com
Но «подготовительный этап» вскоре был завершён, программный продукт готов, цель выбрана, начались массовые «наезды». С Новым 2004-м годом, Господа Британские Букмекеры!3
Послушаем, что говорят об этом сами представители пострадавших.
ю. дейвид - главный технический руководитель букмекерской компании «Бетфайр Ком», работающей в сети Интернет в режиме реального времени, имеющей собственный Web-сайт (www.betfair.com, IP адрес 212.62.21.2314): «7 января 2004 года компания ''Бетфайр Ком'' по электронной почте получила сообщение, отправленное на почтовый ящик info@ betfair.com, из которого следовало, что компания ''Бетфайр Ком'' подверглась DDOS-атаке со стороны отправителя письма, и за её прекращение он требует выплаты 10 000 долларов США, в противном же случае атака на компанию будет продолжаться до полного банкротства.
18 января 2004 года компания получила по электронной почте еще одно сообщение, отправленное на почтовый ящик info@betfair. com, в котором указывалось, что на компанию 1 февраля 2004 года будет совершена DDOS-атака (распределённый отказ в обслужива-
2 Сохранены - общий вид, орфография и форма подлинника.
3 Отдельные атаки были еще в 2003 г., но по-настоящему массовый характер они приняли именно в 2004 г.
4 Здесь и в дальнейшем имена сайтов, систем и сетевые адреса приводятся в соответствии с их написанием в материалах уголовного дела.
нии), длительность которой будет зависеть от руководства компании. Отправитель письма потребовал 15 000 долларов США, иначе атака будет продолжаться до банкротства компании. В результате произведённой DDOS-атаки компании был причинен материальный ущерб на сумму 10 000 фунтов стерлингов».
дж. Ф. Э. Салмон - исполнительный директор игорной компании «Ads Dot Com», работающей в сети Интернет в режиме реального времени, имеющей собственные вэб-сайты по адресам: www.intercasino.com, www.interbingo. com, www.intercasinopoker.com и www.vipcasino. com с IP-адресами: 193.120.201.50, 193.95.155.65, 193.95.155.66, 193.95.155.5 и 193.95.15S.20:
«5 марта 2004 года по электронной почте с адреса inter@ok.kz компания ''Ads Dot Com’’ получила сообщение о том, что она подверглась DDOS-атаке (распределённому отказу в обслуживании) со стороны отправителя письма. В письме были высказаны требования о выплате 15 000 долларов США через систему ''Вестерн Юнион'', в противном же случае атаки на компанию будут продолжаться каждый день до перечисления денег либо до полного банкротства компании. Атака, в процессе которой 425 уникальных сетевых IP-адресов пытались создать более 600 000 одновременных соединений с вэб-сервером. В обычном режиме вэб-сервер получает запросы на информацию со скоростью 2 мегабайта в секунду, в то время как в ходе атаки запросы на информацию создавались со скоростью более 70 мегабайт в секунду. Указанная атака началась 6 марта 2004 года, в 14:00 по Гринвичу и продолжалась до 16 марта 2004 года. В результате атаки компания ''АДС Дот Ком'' понесла убытки на сумму 350 000 долларов США, связанные с неимением возможности привлекать новых клиентов и отвечать на запросы в обычном режиме. Компания заявила о происшествии в полицию, и представила письма с требованиями денег за прекращение атаки».
К. Э. уокер - директор компании «Канбет Спортс Букмекерс Лтд», которая работает в сети Интернет в режиме реального времени и имеет собственные страницы по адресам: www.canbet. com, www.canbet.co.uk и www.canbet.com.au и IP-адрес 195.49.147.130:
«25 октября 2003 года компания по электронной почте получила сообщение, отправленное на почтовые ящики mail@canbet.co.uk, payments@canbet.co.uk, sport@canbet.co.uk и techsupport@canbet.co.uk. В электронном письме сообщалось, что ''Канбет Спортс Букмекерс Лтд'' находится под DDOS-атакой со стороны отправителя письма, который требует выплаты 40 000 долларов, угрожая при этом разорением компании. Указанная атака началась 25 октя-
бря 2003 года в 09.00 часов и закончилась в 12.00 часов 28 октября 2003 года. В результате атаки сервер компании вышел из строя. Во время атаки, ''Канбет Спортс Букмекерс Лтд'' получила ещё пять сообщений, отправленных с того же электронного адреса. В каждом письме содержались угрозы о продолжении DDOS-атак с повышением цены откупа до 50 000 долларов США в случае промедления с выполнением требований. В результате крупных финансовых потерь, понесённых компанией, руководство приняло решение заплатить сумму, требуемую атакующими.
Компания ''Канбет Спортс Букмекерс Лтд'' начала делать требуемые выплаты, используя своих сотрудников. Все указанные выплаты были сделаны и последняя ... была произведена 31 октября 2003 года.
1 ноября 2003 года ''Канбет Спортс Букмекерс Лтд'' опять стала жертвой DDOS-атаки, в результате которой был причинен ущерб на сумму 100 000 фунтов стерлингов, который был вызван отсутствием возможности заниматься трудовой деятельностью и складывался из совокупности ожидаемого торгового оборота и предполагаемой прибыли за период атаки. Для защиты от DDOS-атаки компания была вынуждена приобрести дополнительное аппаратное оборудование на сумму 145 465 фунтов стерлингов, в покупке которого до проведения атаки не нуждалась.
29 января 2004 года компания ''Канбет Спортс Букмекерс Лтд'' получила ещё одно сообщение по электронной почте, в котором указывалось, что они находятся под DDOS-атакой, и для е1 прекращения необходимо заплатить 10 000 долларов США. Нападение продолжалось до 4 февраля 2004 года. Ущерб в период бездействия компании в результате DDOS-атаки оценивается в 100 000 фунтов стерлингов.
14 марта 2004 года компания получила очередное сообщение по электронной почте, отправленное с электронного адреса haveaniceday@ таП^., в котором констатировалась новая DDOS-атака, и для ее прекращения требовалось заплатить 15 000 долларов США. Атака началась 14 марта 2004 г. и прекратилась 17 марта 2004 года. В результате проведённой атаки компания понесла убытки в 50 000 фунтов стерлингов.
25 марта 2004 года все распечатанные электронные письма вымогателей были переданы детективу констеблю Э. Крокеру из Управления по борьбе с преступлениями в сфере высоких технологий для приобщения к материалам дела».
у. д. Маммери - директор букмекерской компании «Бетинтернет» работающей в
сети Интернет в режиме реального времени, имеющей собственный вэб-сайт по адресу: www. betinternet.com и IP-адрес 217.23.170.4:
«25 февраля 2004 года компания ''Бетин-тернет'' по электронной почте получила сообщение, отправленное с адреса betpro22@yahoo. com на почтовый ящик info@betinternet.com, из которого следовало, что она подверглась DDOS-атаке (распределённому отказу в обслуживании) со стороны отправителя письма. В письме были выдвинуты требования о выплате 10 000 долларов США, а в случае неуплаты была высказана угроза непрерывного проведения атаки в течение
1 месяца и соответственно разорения компании. DDOS-атака началась 25 февраля 2004 года в 16:00 по Гринвичу и закончилась в 21:00 по Гринвичу того же дня и имела эффект пропитывания сервера компании лавиной пакетов информации, что стало результатом отключения web-страницы компании от Интернета, что означало невозможность выхода клиентов на сайт. В результате проведённой DDOS-атаки компании причинен ущерб в сумме S 000 фунтов стерлингов, так как компания не имела возможности заниматься трудовой деятельностью. Письма вымогателей и другие данные, полученные из сети Интернет, так же как и образцы передачи информации до атаки, во время атаки и после он передал в полицию».
К. Браун - директор по информационным системам и электронной коммерции букмекерской компании «Stanley Racing Limited», работающей в сети Интернет в режиме реального времени, имеющей собственный вэб-сайт по адресу: www.stanleybet.com и IP-адреса S1.144.140.217 и S1.144.140.21S:
«6 апреля 2004 года компания ''Stanley Racing Limited'' по электронной почте получила сообщение с электронного адреса johnmartino@ europe.com, отправленное на почтовый ящик care@stanleybet.com, из которого следовало, что компания подверглась DDOS-атаке (распределённому отказу в обслуживании) со стороны отправителя письма. В письме были выдвинуты требования перевода 30 000 долларов США на банковский счет вымогателей или посредством «Вестерн Юнион», в противном же случае была высказана угроза порчи DNS-серверов. DDOS-атака на компанию началась в 14:10 6 апреля 2004 года и закончилась в 10:30 7 апреля 2004 года. Во время атаки количество входящих подключений было таким, что привело к отключению сайта компании от Интернета. В результате этой атаки компания ''Stanley’' понесла убытки на сумму 10 000 фунтов стерлингов, которые вызваны неимением возможности заниматься трудовой деятельностью, повышенным ис-
пользованием людских ресурсов и введением предупредительных мер.
Компания ''Стэнли Рэйсинг Лимитед'' заявила о происшествии в полицию и представила письма с требованиями денег за прекращение атаки».
Р. Ч. уоттс - директор информационных технологий букмекерской компании «Спортинг Ексчейндж Лтд», работающей в сети Интернет в режиме реального времени, имеющей 1Р-адрес 213.52.206.233:
«17 января 2004 года, в 15:08 часов компания ''Спортинг Ексчейндж Лтд'' по электронной почте получила сообщение, отправленное на почтовый ящик admin@sportingbet.com, из которого следовало, что компания подверглась DDOS-атаке (распределённому отказу в обслуживании) со стороны отправителя письма, за прекращение которой отправитель потребовал выплатить 15 000 долларов США за защиту от DDOS-атак на срок 6 месяцев, или 25 000 долларов США после начала атаки. Согласно имеющимся требованиям выплата должна быть сделана через ''Вестерн Юнион'', в противном же случае атака на компанию будет продолжаться либо пока компания не заплатит, или не обанкротится. Атака началась 4 февраля 2004 года в 21:00 и продолжалась до 00:30 следующего дня.
14 февраля 2004 года компания получила по электронной почте письмо, отправленное на почтовый ящик enquiries@sportingodds.com в котором были выдвинуты требования о выплате 10 000 долларов США в обмен на защиту от атак в течение одного года. Атака началась в 17:17 14 февраля 2004 года и закончилась в тот же день в 20:25.
В результате атак компания ''Спортинг Ексчейндж Лтд'' понесла убытки на сумму 100 000 фунтов стерлингов, которые были вызваны неимением возможности заниматься трудовой деятельностью и введением предупредительных мер, необходимостью которых была переориентировка ресурсов для снижения эффекта аналогичных атак в будущем. Компания ''Спортинг Ексчейндж Лтд'' заявила о данном происшествии в полицию и представила распечатку электронных писем».
Ф. Г. Найт - коммерческий директор букмекерской компании «Евробет», работающей в сети Интернет в режиме реального времени, имеющей собственные сайты, расположенные по адресам: www.coral.co.uk и www.eurobet.com и 1Р-адрес 62.7.228.000:
«20 февраля 2004 года компания ''Евробет'' по электронной почте получила сообщение, отправленное с электронного адреса haveaniceday@ ok.kz на почтовый ящик customercare@coral.
co.uk, из которого следовало, что сайт компании подвергся DDOS-атаке (распределённому отказу в обслуживании) со стороны отправителя письма и выдвинуто требование выплаты 30 000 долларов США через ''Вестерн Юнион'', в противном случае атака на компанию будет продолжаться до ее разорения. DDOS-атака на сайт компании началась 20 февраля 2004 года, в 11:30 часов и продолжалась до 23 февраля 2004 года, пока постепенно не утихла в период времени между 00: 01 и 04: 01 часами.
В результате DDOS-атак, компания "Евробет" понесла убытки на сумму 240 000 фунтов стерлингов, которые вызваны неимением возможности заниматься трудовой деятельностью и введением предупредительных мер. Компания "Евробет" заявила о данном происшествии в полицию».
Таковы лишь некоторые факты (в судебном процессе рассмотрены десятки такого рода преступных эпизодов). Они очевидны, проблема в другом: как доказать, что данные действия проводились именно этими конкретными людьми? Вот здесь и начинается состязание «преступник
- эксперт». Задача первого - скрыть следы преступления, второго - отыскать их.
Вот своеобразное «наставление по сохранению режима секретности», разработанное (и тщательно соблюдаемое!) при общении участников преступной группы.
фрагмент экспертного заключения
Приложение 10. Содержимое файла с именем «Readme.txt», обнаруженного на компакт-диске (SWISSTEC, CD-R, 700 Мб, код «4M1960530307590322»)1.
«Инструкции такаие
1. пароль никому не давать
2. заходить на сайт с одного компьютера
3. использовать анонимный прокси для доступа на сайты
(использовать тот прокси, который дается Вам вместе с
логином и паролем)
4. Поменять язык в системе на англ.
5. Лучше использовать Opera(eng), так как при использовании
InternetExplorer с поддержкой русского языка, при смене
языка в системе, броузер все равно будет отображаться
русскоязычным. Перед каждым посещением сайта, очищать
кеш и кукисы)
6. не привлекать внимание администратора
сайта
(не заходить на форум, гостевухи, тем более писать там
сообщения)
1 Форма и стиль документа - сохранены, орфография не исправлялась.
7. при скачке файлов с сайта включить использование прокси
в менеджере закачек.
8. При просмотре видео онлайн тоже рекомендуется включить
прокси в настройках Windows Media Player».
Можно ли все-таки идентифицировать авторов переписки, которые использовали такие предосторожности?
Как показали наши эксперты - можно. Вот еще один фрагмент экспертного заключения.
Решение вопроса «Присутствует ли в коде вредоносной программы какая-либо индивидуализирующая информация?»
Для ответа на поставленный вопрос экспертами проводился анализ содержимого файлов обнаруженных вредоносных программ.
... в файле с именем «rss.exe» вредоносной программы, на компакт диске с условным названием «Operation Catterick» (код «5085 42LC 212037») присутствует следующая индивидуализирующая информация: программа отконфигурирована на подключение кIRC-серверу по адресу «exe.balakovo. pp.ru», при этом для работы используется канал «#]t[».
... в файле с именем «rconnect.conf», входящем в состав вредоносной программы, на компакт диске с условным названием «Operation Catterick» (код «5085 42LC 212037») присутствует следующая индивидуализирующая информация: пользователь «exe» с соответствующими ему паролем «exepas$» и рабочим каталогом «C: \», а также пользователь «b0t» с соответствующими ему паролем «b0tpas$» и рабочим каталогом «C:\winnt\system\network\ ftp».
... в файле программы «mIRC» с именем «h4ck. sys», входящем в состав вредоносной программы, на компакт диске с условным названием «Operation Catterick» (код «5085 42LC 212037») присутствует следующая индивидуализирующая информация:
а) имя пользователя «e70X51e»;
б) псевдонимы «[380440]» и «[482965]»;
в) адрес компьютера «bots.dns2go.com»;
г) адреса локального компьютера, с которого осуществлялось использование программы mIRC: «217.107.20.94» и «ci-di63.balakovo.san.ru»;
д) псевдоним другого пользователя IRC, от которого принимались файлы «eXe-».
... в файле программы «mIRC» с именем «v.eXe», входящем в состав вредоносной программы, на компакт диске с условным названием «Operation Catterick» (код «5085 42LC 212037») присутствует следующая индивидуализирующая информация:
а) «cfyz.com» — адрес FTP-сервера, используемого для распространения вредоносных программ;
б) «rz@cfyz.com» — имя пользователя для работы с FTP-сервером;
в) «rz» — пароль для работы с FTP-сервером;
г) «rss.exe» — имя файла (вредоносной программы), копируемого на НЖМД «заражаемого» компьютера;
д) «exe.balakovo.pp.ru» — адрес сервера для подключения к сети IRC.
... в файле с именем «internat.exe» вредоносной программы, на компакт диске Verbatim с кодом «Q132MI665901», извлеченном из пакета, помеченного «Максаков», присутствует следующая индивидуализирующая информация:
а) доменное имя сервера «bots.fff5.com», используемое для подключения к IRC серверу;
б) текстовые идентификаторы «xxXxx», «xXx», «FBIx», «##FBI##», «##FBI-LOG##», «##FBI-SNIFF##».
Достаточно убедительно? И все-таки доказательность экспертных заключений, послуживших основанием для весьма сурового приговора, стала объектом бурной дискуссии в прессе и Интернете. В дальнейшем мы попытаемся рассмотреть и проанализировать позиции как критиков, так и защитников результатов экспертиз, а также строгость приговора.
(Продолжение следует)
Ґ 1
подписной индекс по каталогу агентства «Роспечать»
36829
ПО КАТАЛО! у А! ЕН1С1ВА
«р оспе чат ь»
36829
Ч
ЬттттттттттттттттттттттттттттттттттГ
