Этот материал является продолжением публикации Детские игры закончились. Комментарии пользователей можно прочитать в сообществе Спортивное ЧГК "Живого Журнала".
Ниже — попытка связного изложения версий двух сторон и обсуждения расхождений между ними.
Версия А. Чтение осуществлялось лично А.Р.Белкиным, заход также делался им.
Версия Б. А.Р.Белкин ни к заходу, ни к чтению этого ящика, ни к данному IP никакого отношения не имеет. От комментариев по поводу того, кто мог бы иметь отношение к этому эпизоду, А.Р.Белкин отказался.
Сравнение: Нет никаких доказательств ни одной из версий. В частной беседе А.Р.Б. намекал на то, что взлом ящика М.Руссо (см. эпизоды 2 и 3) мог быть делом рук его противников, тогда логика требует признать, что в эпизоде 3 и эпизоде 1 действовал один и тот же злоумышленник (чтобы переслать А.Р.Б. ссылку, ее нужно откуда-то получить).
Установлено: IP принадлежит А.Р.Белкину, является его постоянным ("домашним") IP-адресом.
Версия А. А.Р.Белкин получил доступ к письму, скачанному на gmail c ящика М.Руссо, и самостоятельно осуществил заходы на указанные картинки.
Версия Б. Первый вариант: доступ к письму и содержащимся в нем ссылкам получен неустановленным третьим лицом (НТЛ), после чего ссылки, возможно, были посланы им А.Р.Белкину, с подделанного адреса одного из знакомых или просто с нейтрального адреса. А.Р.Белкин не почувствовал ловушки и не осознал, что попал в нее. Содержания картинок он НЕ ЗНАЕТ, поэтому не может сказать, смотрел ли он их реально или нет. Не исключается и другой вариант: умышленный "заход в ловушку" ее организаторами, фальсифицировавшими при этом IP-адрес Белкина. Третий вариант: логи, в которых зафиксирован якобы имевший место заход, просто не существуют (сфальсифицированы для Кнопа и его эксперта Алавидзе), а утверждение об их существовании -- на совести тех, кто предоставлял Кнопу и Алавидзе искаженные и тенденциозно подобранные факты.
Сравнение: будет произведено ниже, в эпизоде 3.
Версия А. А.Р.Белкин получил доступ к письму, скачанному на gmail c ящика М.Руссо, и самостоятельно осуществил заходы на указанные скриншоты.
Версия Б. Доступ к письму и содержащимся в нем ссылкам получен НТЛ, после чего ссылки были посланы им А.Р.Белкину, с подделанного адреса одного из знакомых или просто с нейтрального адреса. А.Р.Белкин не почувствовал ловушки и не осознал, что попал в нее. А.Р.Белкин не отрицает, что действительно видел те скриншоты, о которых идет речь, и перешел на них по ссылке. Откуда и каким образом к нему попала ссылка -- он не помнит. Следов получения этих ссылок в почтовой программе (Outlook Express) и в браузере (Firefox) в силу их настроек не сохранилось.
Сравнение: Обе версии сходятся на том, что заход в этом эпизоде осуществлялся лично А.Р.Белкиным. Это позволяет исключить, например, такие варианты, как работа троянской программы на его домашнем компьютере и управление его компьютером извне в режиме удаленного доступа. Кроме того, это опровергает версию о подделке IP в эпизоде 3. Следовательно, не стоит предполагать наличие таких инструментов и в эпизоде 2. Более того, это сильно ослабляет вероятность фальсификации логов в эпизоде 2: те, кто мог бы этим заниматься, не могли не понимать, что если в эпизоде 3 (ссылка выкладывалась не ими, а К.А.Кнопом, письмо отправлялось также им) заход с домашнего IP А.Р.Белкина не подтвердится, то вес сфальсифицированных логов будет ничтожен. Таким образом, наиболее вероятная версия состоит в том, что эпизоды 2 и 3 "режиссировались" по одной и той же схеме. В версии А "режиссером" признается АРБ, в версии Б - Неустановленный Злоумышленник. Минусы версии Б в эпизоде 3, равно как и всех вариантов версии Б в эпизоде 2 -- отсутствие каких бы то ни было документальных следов. Комментарии А.Р.Белкина к моим комментариям: "Выводы совершенно необоснованны, действия НТЛ в двух этих эпизодах могут быть совершенно различны.В первый раз могли решить, что заманить не получилось, Белкин что-то долго не клюёт, - и передернули. Во второй раз снова попробовали - вроде получилось."
Установленный факт: Ящик С.Ефимова был взломан.
Версия А. Доступ осуществлялся неустановленным злоумышленником из Москвы. Возможно -- тем же А.Р.Белкиным
Версия Б. А.Р.Белкин ни к заходу, ни к чтению этого ящика, ни к данному IP никакого отношения не имеет. От комментариев по поводу того, кто мог бы иметь отношение к этому эпизоду, А.Р.Белкин отказался.
Сравнение: В отличие от эпизодов 2-3, здесь переход по ссылке был осуществлен из браузера. Реферер (ссылка на исходную страницу) был проставлен в точности такой, каким и должен был быть при заходе из данного письма из ящика С.Ефимова (см. скриншот и лог ниже). Следовательно, обладатель данного IP в любом случае имел несанкционированный доступ к ящику Ефимова. Это доказывает факт взлома ящика, хотя ничего и не говорит о персоне взломщика. Это мог быть как А.Р.Белкин, так и любой другой человек, получивший на тот момент времени данный московский IP-адрес. Адрес принадлежит московскому провайдеру ("Голден телеком"), входит в динамический пул адресов, то есть в разное время выдается разным пользователям.
Запись в логе (внимание на строчку реферера - выделено жирным):
194.154.66.175 - - [26/Jan/2009:15:56:50 +0300] "GET /2.mpg HTTP/1.0" 200 4487084 "http://mail.rambler.ru/mail/mail.cgi?mode=obj;mbox=INBOX%26r%3D1fec;what=18192" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
Скриншот почтового ящика (внимание на строчку URL):
Установленный факт: Ящик К.Науменко был взломан или же К.Науменко участвует в глобальном заговоре.
Версия А. Доступы осуществлялись одним и тем же неустановленным злоумышленником из Москвы. Возможно -- А.Р.Белкиным. Точнее, как и в эпизоде 4, можно будет установить только в рамках следственных действий официальных органов.
Версия Б. А.Р.Белкин ни к заходу, ни к чтению этого ящика, ни к данному IP никакого отношения не имеет. От комментариев по поводу того, кто мог бы иметь отношение к этому эпизоду, А.Р.Белкин отказался.
Сравнение: Как и в эпизоде 4, в логах остались рефереры, подтверждающие факт несанкционированного доступа к данному ящику или хотя бы факт сговора владельца ящика с Неустановленным Злоумышленником. Вместе с тем, заход самого К.Науменко на эти ссылки во всех случаях зафиксирован ПОЗДНЕЕ, чем заход злоумышленника. Иначе говоря, вариант "сговор" предполагает, что К.Науменко передал кому-то URL странички для вставки его в ссылку реферера, но сам при этом не стал скачивать файлы по полученной ссылке, а сделал это позднее. Видимо, это тоже было частью заранее продуманного плана. К сожалению, связь с К.Науменко по другим каналам чрезвычайно затруднена, поэтому для меня непонятно, как именно с ним сумел договориться Неустановленный Злоумышленник, находящийся в другом городе.
К счастью, версия о взломанном ящике не требует такого насилия над стариком Оккамом и объясняет намного больше.
Косвенный аргумент в пользу того, что заходы 4-6 осуществлялись с одного компьютера (Неизвестного Злоумышленника): строчка лога, характеризующая ОС и браузер, в этих эпизодах полностью совпадает. "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
Кроме того, определенный оптимизм внушает тот факт, что последний эпизод (7) представляет собой заход с ppp5-68.dial-up.cnt.ru = 213.85.117.68, то есть с модемного пула Центрального Телеграфа. Такой доступ осуществляется по картам "Центел" и, как и в любом другом модемном пуле, в логах диал-апа "Центела" сохраняется номер телефона звонящего. Я не сомневаюсь, что при тщательной проверке следствие сумеет установить того абонента, который делал данный звонок.
Отдельно следует отметить наличие на компьютере А.Р.Белкина (см. заходы 2 и 3) менеджера закачек MEGAUPLOAD устаревшей версии 1.0. Это не столь частое дополнение к браузеру (из 10902 уникальных IP, с которых за двое суток была прочитана страничка gameover.html, подстроку MEGAUPLOAD 1.0 в логе содержат всего 78, то есть 0.7%, а совпадение с данными захода 7 полной реферальной строчки - версии ОС и браузера - наблюдается у ЕДИНСТВЕННОГО из прочитавших - 85.93.137.235), так что данные лога по эпизоду 7, на мой взгляд, означают достаточно высокую вероятность того, что использовался один и тот же компьютер. То есть тот же, что в эпизодах 2 и 3.
Как сразу было отмечено, настоящее сообщение выражает лишь личную точку зрения автора (К.А.Кнопа) на позиции стороны А и стороны Б. Оно не содержит прямых обвинений от автора ни в чей конкретно адрес. Перепечатка сообщения без явного разрешения автора запрещена. Официальным адресом сообщения является страничка http://www.kknop.com/gameover2.html.