17 августа 2001, gh0ul

Для Брайана К. Уэста (Brian K. West), 24-летнего менеджера интернет-провайдера из юго-восточной Оклахомы по продажам и поддержке пользователей, доброе дело может обернуться судебным преследованием. Уэст попал в сферу интересов команды быстрого реагирования на компьютерные угрозы (Computer Analysis Response Team), потому что предупредил местную компанию о серьезной уязвимости ее веб-сайта.

1 февраля 2000 года один из сотрудников Уэста создал баннер для размещения на сайте газеты Poteau Daily News в рамках официальной рекламной кампании своего работодателя. Чтобы проверить, как законченный баннер будет выглядеть на сайте, Уэст щелкнул по кнопке «Edit» Microsoft Internet Explorer'а. Это действие вызвало Microsoft FrontPage и должно было создать локальную копию веб-страницы, позволив Уэсту сымитировать сайт на своем компьютере.

Однако на сей раз из-за неправильной конфигурации сервера Microsoft FrontPage продемонстрировал какие-то необычные файлы. После минутного замешательства Уэст осознал, что сервер, хостящий сайт Poteau Daily News, не требует аутентификации для редактирования любого файла на сайте. Отсутствие процедуры аутентификации означало, что любой желающий мог отредактировать сайт Poteau Daily News при помощи FrontPage, даже не вводя пароль. Ясное дело, это весьма обширная дыра в системе безопасности.

2 февраля, после тестирования дыры, - чтобы убедиться, что проблема действительно имеется, - Брайан Уэст связался с главным редактором Poteau Daily News Уолли Берчетом (Wally Burchett), чтобы описать ему проблему с сайтом его компании - несмотря на то, что сайт хостила компания Cyberlink, непосредственный конкурент его собственной компании.

Уэст сообщил об уязвимостях сервера Cyberlink Берчету, после чего тот очень огорчился и сказал, что перезвонит Уэсту. А перезвонив, записал разговор и выспросил подробности, касавшиеся проблемы с сервером. Во время изложения проблемы Уэст дал Берчету понять, что сходные проблемы с конфигурированием серверов испытывали и другие компании, в том числе банк самого Уэста. После этого телефонного разговора Берчет передал запись полицейскому департаменту Пото. Вот тут-то в дело и вмешалось ФБР.

Представившись работниками Poteau Daily News, агенты ФБР расспрашивали Уэста о выделенной линии (T1 или лучшей). Во время звонка они спросили, в какое время лучше навестить его в Cwis Internet Services - компании, где он работал. Договорившись о встрече, агенты явились 11 февраля 2000 года. Когда же фэбээровцы, представившиеся работниками «главного офиса» Poteau Daily News, спросили о проблеме с сайтом pdns.com, Уэст изложил сведения о сайте pdns.com (Poteau Daily News), в том числе и то, как поправить конфигурацию сервера. Тогда он не знал, что они агенты ФБР. По ходу объяснений Уэст щелкнул по кнопке «Edit» в IE, чтобы показать им, как проявляет себя баг. Как оказалось, сайт по-прежнему был открыт нараспашку - две недели спустя после того, как он описал уязвимость и метод ее устранения главному редактору газеты Уолли Берчету.

Выслушав объяснения, один из агентов заявил, что должен забрать что-то из своего автомобиля. Как только он вышел, явился другой агент с фэбээровской бляхой и ордером на обыск. Уэст и остальные оказали ФБР содействие в расследовани. ФБР потратило на сбор данных целый день. Но при этом поначалу агенты отказывались дать копию ордера на обыск, хотя их об этом неоднократно просили.

Почти 16 месяцев спустя после обыска рабочего места Уэста, прокурор Маскоги (Muskogee), штат Оклахома, позвонил адвокату Уэста, заявляя, что от него хотят признания в совершении преступления и отбывания 5-летнего срока условно. Брайан К. Уэст еще не получил официального обвинения, однако прокурор утверждает, что если тот не будет осужден на основании статьи 18 пункт 1030 УК США, тогда прокурор предъявит обвинение в мошенничестве с использованием электронных средств коммуникации.

Брайан Уэст всего лишь пытался создать локальную копию html-документа для проверки вида рекламы на веб-страницы при помощи Microsoft FrontPage, а в результате может лишиться и доброго имени, и состояния. Он не прибегал к дефейсу сайта. Он ничего не портил. Он случайно нашел дыру в системе безопасности, протестировал ее, чтобы убедиться в реальности угрозы, а затем позвонил владельцу сайта, чтобы проинформировать его о проблеме. Короче говоря, Уэст обвинен в преступлении лишь за то, что сообщил Poteau Daily News, что нашел серьезные недостатки в конфигурации сервера.

Адвокат уведомил Уэста, что плата составит 10000 долларов, не считая текущих расходов.

Документы по этому делу в формате pdf (Acrobat) можно найти по адресу www.bkw.org/pdf

Перевод с английского. Ознакомиться с оригиналом, а также внести пожертвования или принять участие в кампании по защите Уэста можно по адресу http://www.linuxfreak.org/post.php/08/17/2001/134.html.