Из данных регистратора мы узнаем, за кем закреплена соответствующая подсеть или диапазон IP-адресов. Обычно таковым субъектом является оператор связи или его клиент. Очень редко в базе данных регистратора значится непосредственный пользователь IP-адреса.
Получить или уточнить данные о непосредственном пользователе, а также установить его географическое расположение можно у оператора связи, на которого зарегистрирован соответствующий диапазон IP. Бывает, что этот оператор не знает точного местоположения клиента, поскольку между ним и клиентом находится оператор-посредник или оператор последней мили. Бывает, что посредник не единственный. В таком случае придется пройти по всей цепочке операторов.
В принципе, функция определения местоположения конечного оборудования (компьютера пользователя) предусмотрена в СОРМе. Однако очень мало надежды, что такая функция в действительности работает в силу того, что операторы связи учитывают своих клиентов по-разному, держат эти данные в самых различных форматах и редко организуют к ним онлайновый доступ для ФСБ. Привести весь клиентский учет всех операторов к единому знаменателю – задача на сегодняшний день невыполнимая.
ПРИМЕР
Приведем характерный пример.
Установлено, что неправомерный доступ к компьютерной информации был осуществлен 31.12.06, 21:01:30 по московскому времени с IP-адреса 217.107.0.58. Данный адрес зафиксирован техническими средствами потерпевшего и его провайдера и закреплен протоколами осмотра и актом экспертизы.
Запрашиваем whois и выясняем, что сеть 217.107.0.0-217.107.255.255 зарегистрирована за провайдером «Главтелеком», а подсеть 217.107.0.0-217.107.0.255 – за провайдером «Урюпинский хостинг». Первой части этих данных можно верить, поскольку «Главтелеком» является LIR'ом и данные о нем заносятся в базу самим региональным регистратором (RIR). Вторая же часть данных вызывает немного меньше доверия, поскольку здесь выше вероятность ошибки, да и времени с момента последнего обновления записи прошло немало.
Соответствующую распечатку ответа whois-сервера оформляем рапортом оперативного сотрудника. А в «Главтелеком» направляем официальный запрос с требованием предоставить информацию о клиенте.
Получаем ответ, в котором ОАО «Главтелеком» подтверждает, что диапазон 217.107.0.0-217.107.0.255 на интересующий момент времени был выделен в пользование его клиенту – ЗАО «Урюпинский хостинг». О дальнейшем распределении и использовании этих IP-адресов знают только в Урюпинске.
Предполагая, что злоумышленником является не сотрудник этого провайдера, а его клиент, и считая провайдера лицом незаинтересованным, запрашиваем ЗАО «Урюпинский хостинг» об интересующем нас адресе 217.107.0.58, указав точный момент времени, когда имел место неправомерный доступ.
Получаем ответ из Урюпинска, что поддиапазон адресов 217.107.0.2-217.107.0.63 используется для динамического выделения клиентам услуги коммутируемого доступа (dial-up), а в указанный момент (31.12.06, 18:01:30 по Гринвичу) этот адрес использовался клиентом, авторизованным по логину «pupkin». Этот логин, в свою очередь, закреплен за договором №163/2006 на имя Пупкиной Ирины Васильевны.
Для закрепления доказательств следует изъять и отправить на экспертизу компьютер, на котором функционировали технические средства, производившие авторизацию пользователя, выделение динамического IP-адреса и ведение соответствующих лог-файлов. Вместо изъятия и экспертизы можно ограничиться осмотром указанных компьютеров и лог-файлов (подробнее см. главу «Осмотр места происшествия»). Также следует изъять клиентский договор.
Окончательное закрепление доказательств производится в ходе экспертизы компьютера из квартиры Пупкина.
Итак, цепочка доказательств, привязывающая IP-адрес к компьютеру конечного пользователя, у нас сложилась такая:
● рапорт оперуполномоченного Иванова о выделении сети 217.107.0.0-217.107.255.255 российскому провайдеру «Главтелеком»;
● справка из «Главтелекома» о выделении сети 217.107.0.0-217.107.0.255 провайдеру «Урюпинский хостинг»;
● справка из ЗАО «У.Х.» об использовании подсети 217.107.0.2-217.107.0.63 для динамического выделения клиентам;
● протокол осмотра сервера «У.Х.», где в логах значится выделение адреса 217.107.0.58 пользователю «pupkin» в период 31.12.06, 22:45:31 23:20:12 по местному времени;
● клиентский договор, из которого следует принадлежность логина «pupkin»;
● акт экспертизы компьютера, изъятого при обыске в квартире Пупкина, где зафиксирован факт выхода в Интернет в период 31.12.06, 22:46:31 23:21:12 через модемный пул провайдера «У.Х.».
Цепочка замкнулась и защелкнулась. Некоторые особенности этой цепочки (вхождение одного диапазона IP в другой диапазон, особенности авторизации, разница и регулярное смещение временных интервалов и т.п.) может пояснить эксперт или специалист в ходе его допроса.
Получить или уточнить данные о непосредственном пользователе, а также установить его географическое расположение можно у оператора связи, на которого зарегистрирован соответствующий диапазон IP. Бывает, что этот оператор не знает точного местоположения клиента, поскольку между ним и клиентом находится оператор-посредник или оператор последней мили. Бывает, что посредник не единственный. В таком случае придется пройти по всей цепочке операторов.
В принципе, функция определения местоположения конечного оборудования (компьютера пользователя) предусмотрена в СОРМе. Однако очень мало надежды, что такая функция в действительности работает в силу того, что операторы связи учитывают своих клиентов по-разному, держат эти данные в самых различных форматах и редко организуют к ним онлайновый доступ для ФСБ. Привести весь клиентский учет всех операторов к единому знаменателю – задача на сегодняшний день невыполнимая.
ПРИМЕР
Приведем характерный пример.
Установлено, что неправомерный доступ к компьютерной информации был осуществлен 31.12.06, 21:01:30 по московскому времени с IP-адреса 217.107.0.58. Данный адрес зафиксирован техническими средствами потерпевшего и его провайдера и закреплен протоколами осмотра и актом экспертизы.
Запрашиваем whois и выясняем, что сеть 217.107.0.0-217.107.255.255 зарегистрирована за провайдером «Главтелеком», а подсеть 217.107.0.0-217.107.0.255 – за провайдером «Урюпинский хостинг». Первой части этих данных можно верить, поскольку «Главтелеком» является LIR'ом и данные о нем заносятся в базу самим региональным регистратором (RIR). Вторая же часть данных вызывает немного меньше доверия, поскольку здесь выше вероятность ошибки, да и времени с момента последнего обновления записи прошло немало.
Соответствующую распечатку ответа whois-сервера оформляем рапортом оперативного сотрудника. А в «Главтелеком» направляем официальный запрос с требованием предоставить информацию о клиенте.
Получаем ответ, в котором ОАО «Главтелеком» подтверждает, что диапазон 217.107.0.0-217.107.0.255 на интересующий момент времени был выделен в пользование его клиенту – ЗАО «Урюпинский хостинг». О дальнейшем распределении и использовании этих IP-адресов знают только в Урюпинске.
Предполагая, что злоумышленником является не сотрудник этого провайдера, а его клиент, и считая провайдера лицом незаинтересованным, запрашиваем ЗАО «Урюпинский хостинг» об интересующем нас адресе 217.107.0.58, указав точный момент времени, когда имел место неправомерный доступ.
Получаем ответ из Урюпинска, что поддиапазон адресов 217.107.0.2-217.107.0.63 используется для динамического выделения клиентам услуги коммутируемого доступа (dial-up), а в указанный момент (31.12.06, 18:01:30 по Гринвичу) этот адрес использовался клиентом, авторизованным по логину «pupkin». Этот логин, в свою очередь, закреплен за договором №163/2006 на имя Пупкиной Ирины Васильевны.
Для закрепления доказательств следует изъять и отправить на экспертизу компьютер, на котором функционировали технические средства, производившие авторизацию пользователя, выделение динамического IP-адреса и ведение соответствующих лог-файлов. Вместо изъятия и экспертизы можно ограничиться осмотром указанных компьютеров и лог-файлов (подробнее см. главу «Осмотр места происшествия»). Также следует изъять клиентский договор.
Окончательное закрепление доказательств производится в ходе экспертизы компьютера из квартиры Пупкина.
Итак, цепочка доказательств, привязывающая IP-адрес к компьютеру конечного пользователя, у нас сложилась такая:
● рапорт оперуполномоченного Иванова о выделении сети 217.107.0.0-217.107.255.255 российскому провайдеру «Главтелеком»;
● справка из «Главтелекома» о выделении сети 217.107.0.0-217.107.0.255 провайдеру «Урюпинский хостинг»;
● справка из ЗАО «У.Х.» об использовании подсети 217.107.0.2-217.107.0.63 для динамического выделения клиентам;
● протокол осмотра сервера «У.Х.», где в логах значится выделение адреса 217.107.0.58 пользователю «pupkin» в период 31.12.06, 22:45:31 23:20:12 по местному времени;
● клиентский договор, из которого следует принадлежность логина «pupkin»;
● акт экспертизы компьютера, изъятого при обыске в квартире Пупкина, где зафиксирован факт выхода в Интернет в период 31.12.06, 22:46:31 23:21:12 через модемный пул провайдера «У.Х.».
Цепочка замкнулась и защелкнулась. Некоторые особенности этой цепочки (вхождение одного диапазона IP в другой диапазон, особенности авторизации, разница и регулярное смещение временных интервалов и т.п.) может пояснить эксперт или специалист в ходе его допроса.
Комментариев нет:
Отправить комментарий