Инцидент с провайдером «ИнтернетТелеком»

Инцидент с провайдером «ИнтернетТелеком»

Небезинтересный случай произошел на этой неделе.
Пользователь сети Интернет Пустохина Н.И. подключена через провайдера «ИнтернетТелеком» уже в течение двух лет. Подключен домашний компьютер. Уже несколько месяцев Интернет на компьютере Пустохиной не работал по техническим причинам - представители провайдера никак не могли разобраться по каким именно. 18 января 2006 года сотрудники провайдера по запросу Пустохиной выехали к ней на квартиру и установили факт неисправности сетевой карты на этом компьютере (два специалиста произвели тестирование на основании которого впоследствии Пустохиной Н.И. был выдан письменный акт с указанием факта неисправности сетевой карты компьютера и необходимости ее замены).
Самое интересное произошло дальше. 20 февраля 2006 года на домашний телефон Пустохиной поступил звонок от провайдера с сообщением о том, что необходимо погасить задолженность в размере больше восьми тысяч рублей (!). Пустохина Н.И. была в шоке. Компьютер стоял, никто на нем не работал, сетевая карта неисправна, задолженность на момент выдачи заключения о неисправности сетевой карты отсутствовала.
Стали разбираться. Дочь Пустохиной Н.И. (Нифонтова И.Ю.) закончила матмех УрГУ и работает по специальности, напрямую связанной с компьютерными сетями и их безопасностью. Поэтому с самого начала вопросы к провайдеру мать с дочерью задавали вполне квалифицированные с технической точки зрения. Однако со стороны провайдера ответы поступали очень неохотно или не поступали вообще, дочь с матерью не один день (в рабочее время!) провели на территории провайдера, безуспешно пытаясь добиться встречи с генеральным директором. Сотрудники провайдера всячески пытались не допустить такой встречи, не обосновывая свое поведение или же приводя ложные сведения (то, что сведения о недоступности генерального директора были ложными, выяснилось уже позже, когда с ним все же удалось добиться встречи).
Итак, вот что удалось выяснить:
1. Чужой трафик начал поступать на счет Пустохиной ЧЕРЕЗ ПОЛТОРА ЧАСА после того, как из их квартиры ушли сотрудники провайдера 18 января 2006 года.
2. Авторизация клиентской машины ведется по паре IP-адрес – MAC-адрес, также предусмотрен механизм авторизации по паролю. Авторизация по паролю Пустохиной Н.И. не использовалась. Как известно, установить произвольный IP-адрес на компьютер не представляет никакой сложности. Также не представляет никакой сложности установить произвольный MAC-адрес на компьютер с современной сетевой картой. Надо отметить, что существует масса способов узнать MAC-адрес компьютера, находящегося в одном сегменте локальной вычислительной сети со злоумышленником. Настораживает же то, что именно сотрудники провайдера, выполняющие проверку компьютера на квартире Пустохиной Н.И., могли обладать полной информацией об адресах компьютера, о факте неисправности сетевой карты (и как следствие - о невозможности для компьютера работать в сети) а также (возможно) о том, что авторизация по паролю не использовалась.
3. Пустохина и ее дочь Нифонтова потребовали произвести анализ журналов событий сетевого трафика. Выяснилось, что протоколирование событий у провайдера ведется не полностью, однако некоторые сведения по детализации трафика все же накапливаются. Из этих сведений удалось почерпнуть следующие факты:
a. Как уже было сказано, чужой трафик стал фиксироваться ЧЕРЕЗ ПОЛТОРА ЧАСА после ухода специалистов провайдера из квартиры Пустохиной
b. Так как машина злоумышленника работала с использованием IP-адреса, выданного Пустохиной, можно сделать вывод, что машина злоумышленника подключена к тому же интерфейсу маршрутизатора провайдера, к которому подключена машина Пустохиной. Другой вопрос – сколько вообще компьютеров подключено к этому интерфейсу маршрутизатора. ПРОВАЙДЕР ОТКАЗАЛСЯ ПРЕДОСТАВЛЯТЬ ЭТИ СВЕДЕНИЯ.
c. Чужой трафик вероятно принадлежал абоненту провайдера «ИнтернетТелеком». Выяснилось, что злоумышленник во время незаконной работы с IP и MAC адресами Пустохиной успешно пользовался такими сервисами провайдера, как почтовые ящики POP3 и IMAP на нескольких корпоративных серверах провайдера. Доступ к таким ящикам возможен только при наличии имени пользователя и пароля, которые имеют (должны иметь - от кражи или прослушивания паролей, конечно же, никто не застрахован) клиенты или сотрудники провайдера и только они. Когда Нифонтова и Пустохина задали вопрос: к какому же именно почтовому ящику осуществлялся доступ (чтобы идентифицировать злоумышленника), представители провайдера заявили, что ТАКИЕ СВЕДЕНИЯ У НИХ НЕ ЗАПРОТОКОЛИРОВАНЫ.
4. Пустохина и Нифонтова продолжали настаивать на своей правоте. В частности они предъявили письменный АКТ (выданный провайдером "ИнтернетТелеком"), в котором указывался факт неисправности сетевой карты их компьютера и необходимость ее замены. Теперь ВНИМАНИЕ: когда представитель провайдера начальник абонентского отдела Елена Перепечко увидела этот документ, она НЕЗАКОННЫМ ОБРАЗОМ ИЗЪЯЛА ЕГО У ПУСТОХИНОЙ и вместо него прямо на месте, без консультаций со своими специалистами, которые работали 18 января в квартире Пустохиной, выдала другое заключение о неисправности всего компьютера (под этим может пониматься все что угодно, вплоть до глюков операционной системы, что отнюдь не мешает работе в Интернет). Следует особо отметить, что именно начальник абонентского отдела Елена Перепечко всеми силами препятствовала встрече Пустохиной с генеральным директором Интернет-провайдера и осуществляла другие препятствия на пути выяснения обстоятельств происшествия.
5. Встречи с генеральным директором провайдера Пустохиной и Нифонтовой все же удалось добиться, но ощутимых результатов это пока не принесло. На настоящий момент провайдер настаивает на том, что общая задолженность увеличилась и составляет свыше 11000 рублей (8400 за январь плюс еще и за февраль). К слову сказать, Пустохина Н.И. Интернетом всегда пользовалась неактивно, средняя плата за трафик у нее составляла около 300 рублей в месяц.

Данный обзор составил Илья Яблонко,
специалист в области безопасности компьютерных сетей,
Cisco Certified Network Associate,
Cisco Firewall Specialist,
Cisco IDS Specialist,
коллега Нифонтовой И.Ю. по работе,
из участия к ней и ее матери и при виде безобразного поведения сотрудников провайдера.
тел: +79043844061,
e-mail: yablonko@mail.ru

[Сообщение изменено пользователем 06.03.2006 18:43]

А что, авторизации по паролю не предусмотрено?

Предусматривается. Просто пользоваться учиться надо

в том то и дело что предусмотрено
у них ip+mac и авторизация....
тока они ей не пользовались
хотя это их прямая обязанность
а просто оставляли доступ открытым видать
ещё удивляются

кстати в статье слова о ней даже нет

в кабинетовском договоре прямо сказано, что если авторизацией либо ВПН не пользуешься, то претензии за воровство трафика не принимаются...

Бумажных доказательств нету... Так что бессмысленно громко кричать на форуме, тем более что Телекому на это глубоко насрать...

> Дочь Пустохиной Н.И. (Нифонтова И.Ю.) закончила >матмех УрГУ и работает по специальности, напрямую >связанной с компьютерными сетями и их >безопасностью

чтож она о своей безопасности то забыла....
просто жалко организацию тогда где она работает

Нестыковочка. ;-)


а как определили что успешно, если логов нет? ;-)

Заключение об успешности я сделала на основании объема трафика (больше 1М)

Нифонтова И.Ю

учитывая камменты - у меня возникает опасение
что она работает учетчиком пропусков
на вахте серверного отдела

Мдя, как глубоко проникла феня :-(

часть в виде офтопика тут
http://www.e1.ru/talk/forum/read.php?f=75&i=37730&...

а как с соотношением входящего/исходящего? тупым перебором логинов/паролей можно нагенерить и побольше чем один мегабайт в час.

Исходящего трафика было меньше килобайта

Нифонтова И.Ю.

Полезнее было бы упомянуть в первом посте это, а не

Вообщем только в суд. Либо на провайдера за мощенничество (типа трафика приписали), либо на злоумышленника, укравшего не маленькую сумму денег у Вас.
Кстати, интересно - если провайдер не сможет вычислить злоумышленника - отберут ли у него лицензию? Типа эксплатируемая сеть не обеспечивает надлежащую авторизацию и ответственность пользователя и способствует преступности? :-)

Если бы все были такими глупыми -
спамеров уже давно бы всех переловили

ИНТЕРНЕТТЕЛЕКОМ ето такое Гвно, извиняюсь за выражение
Я их бывший абонент и очень рад что ушел оттуда, КАBiNET просто рай по сравнению с Телекомом.

У меня в Телекоме в месяц выходило по 1500-2000р ето был мой первый провайдер и я както не замечал, думал так наверно и есть, платил по счету, а патом стал замечать что както цифра странно растет то по 50р 100р а то и по 200р в день когда как (я в Кабинете 300р максимум в месяц трачю), в итоге за последний месяц предъявили счет примерно в 3500 я конечно платить не хотел так как считал что не мог столько насидеть причем лето было я пол месяца отдыхал на даче, но они пригразили судом, а мне тогда было не до етого пришлось отдать всю сумму :-( нафиг

В нашей сетке было всего компов 13 все друг друга знали к тому моменту как я расторг договор из 13 человек инет работал только у 2-х, остальные переподключились в олимпус, кабинет вобщем ДРУЖНО свалили из етого ******* провайдера!!!

Это Вы к чему? Очень актуальная тема в свете борьбы с терроризмом :-) А то как гада ловить - если тот, кто предоставляет услугу - не имеет понятия - кому ее предоставляет? ;-)

К тому что не всех хотят-могут вычислить
я вот уже просто на одном форуме
целую подсеть класса B забанил
ppoe mtu net ru которая

Дык тут от подхода зависит. Ладно денег спер, а вдруг террорист -смертник? Для чего спрашивается паспорт нужен при подключении к сети :-)

Я думаю, при определенной настойчивости абонента с этим у провайдера могут быть проблемы.

Автору. Во-первых, любой человек в сегменте может узнать Ваш MAC-адрес без проблем. Во-вторых, любой сможет также юзать Инет за ваш счет если Вы не пользовались авторизацией (а при некоторых условиях и если пользуетесь, по крайней мере в Кабинете). В-третьих, если Нифонтова такая спец по безопасности, почему она этого не знала? В-четвертых, непонятно зачем нужен пафос и феня в обзоре. Это что, статья в желтую газетку? Тогда я могу понять. Я не могу понять, зачем тогда под ЭТИМ подписываться

вроде адекватный человек должен быть.


+1

В-пятых. Что теперь делать. Говорить провайдеру что сами ничего не качали и вообще не могли, и требовать включить доступ. Обратиться в отдел "К", все рассказать, пусть заведуть дело. По обращению из отдела "К" провайдер будет обязан предоставить их логи, я думаю там достаточно информации. Если провайдер не включит доступ можно на него в суд подать, и размахивать там определением о возбуждении дела. А вообще, пусть они сами в суд подают если такие уверенные. Наконец, можно обратиться в Россвязьнадзор и заявить что провайдер не в состоянии обеспечить безопасность в своей сети, именно он рулит лицензиями.

"Уважаемый" гражданин Илья Яблонко.
А не хотели бы Вы написать оповержение своей статьи.
Я тот самы гражданин Адамов Михаил. И ни разу не был у Пустохиной Н.И. Ваши сведенья, не известно от куда добытые, ложны. Как работник интернеттелекома могу сказать, что ни один монтажник и ни один техник не выдаёт письменного заключения предварительной экспертизы, более того это даже нельзя назвать экспертизой, когда делается обычный тест работоспособности сети с помощью ноута.
Да, я беседовал по телефону с Пустохиной Н.И. по поводу замены сетевой карты, подозрения падали именно на неё.
Согласно нашим тарифам, мы бы заменили, но прежде я провёл бы ту самую " экспертизу " и убедившись в том, что виновата сетевая, заменил бы её. Возможно абоненту Пустохиной Н.И. не понравилась сумма и она отказалась от замены.
Что касается трафика, так извените меня, пользуйтесь авторизацией. Мы на это указываем при подключении не однократно, даже объясняем как пользоваться и последствия не выполнения элементарных правил безопасности.

Это чисто моё мнение
и не от лица компании.

[Сообщение изменено пользователем 03.03.2006 19:33]

Извините, конечно, за дилетантский вопрос, но меня как непродвинутого пользователя эта тема заинтересовала.
Разве на должны отключить доступ при нулевом балансе на счете?
Про тарифные планы "постоплата" я думаю речь не идет, т.к. итернет не работал несколько месяцев, и Пустохина была неактивным пользователем "около 300 руб в месяц".

Помните сюжет из Матрицы - когда Нео с Тринити
в военный центр заходили :-)
Обычно спрашивать у смертника зачем ему
с пол тонны взрывчатки - глупо

Наивный чукотский вьюноша
У реальных преступников доки и внимание на мелочи -
основа выживания и преуспевания

Во во
это то меня и удивило
Т к для заключения экспертизы лицо выносящее
данное заключение - дожно обладать
статусом эксперта
Вряд ли монтажник-суппорт обладает данным статусом
да и оно ему наверняка не надо

1 со стороны абонента:
Если биллинг у провайдера не сертифицирован - можете просто сказать - "не будем платить"
если будет суд - предоставленные логи не будут считаться доказательством, т.к. см.выше.
на просьбы заплатить - можно отказывать, мотивируя отказом в предоставлении логов (ну тех же самых почтовых логов).
Опять же логи должны храниться длительное время, чтобы можно было в любой момент поднять их для доказательства.
2 со стороны провайдера:
надо постараться найти все ж таки того человека, который использует трафик другого абонента - собрать доказательную базу - и можно вполне обращаться в милицию.
ну и если вы действительно не правы - постараться уладить конфликт с абонентом

нет


эти сведения (как я только что уточнил у Нифонтовой И.Ю. по телефону) получены от представителей вашей компании ИнтернетТелеком. Если на квартире у Пустохиной были не вы, а другой представитель компании, это дела не меняет. Ну, раз вы говорите, что не вы приходили к Пустохиной, уберу вашу фамилию из обзора, пусть будет просто "два представителя компании".

Что касается экспертизы. В соседней ветке http://www.e1.ru/talk/forum/read.php?f=75&t=37730&...
Нифонтова И.Ю. уточнила:

тоже исправлю в основном тексте. Видите, двухсторонний диалог понемногу приносит свои плоды, и я этому рад. Однако по сути мой Обзор верен, и от провайдера ожидаются более конкретные действия по разрешению инцидента и улучшению своей работы в целом.