Обвиняют в неправомерном доступе к серверу, как быть?
Добрый день!
Помогите пожалуйста советом.
В общем ситуация следующая:
Обслуживал одну фирму A, поднял им сервер на debian, потом от моих услуг отказались - нашли подешевле(it-аутсорсеры - фирма Б), сдал пароли, распрощались.
Через 3 дня у них упал сервер и пошли звонки. Передаю не дословно, только суть:
1.(от сотрудников фирмы А)
-Сервер упал, все стоит, что делать?
-Говорю это не ко мне, а к новым админам.
2.(от руководителя фирмы А)
-Приезжай подними сервер, дам тебе копеечку, а то новые в выходные не работают.
-Ответил что не хочу в воскресенье на разовый выезд кататься, если хотите, возобновляйте обслуживание - поеду, а так не интересно.
3.(от руководителя фирмы Б)
-Интересовался не я ли там все порушил им. Так-же узнавал что там вообще за сервер, что стоит, как работает и т.п. Предлагал денег что-бы я поднял сервер. (лень видимо ехать было ему)
-Сказал что нет, мол, не ронял я. Отказался от денег, рассказал что за сервер.
И тут через пару часов, внезапный, 4ый звонок:
4.(от руководителя фирмы Б)
-Я приехал, посмотрел, ничего не грузится, ты все сломал, пишу заявление в отдел К. У тебя и мотив есть ты предлагал опять на обслуживание встать - значит для того все и устроил.
-о_О
Вот как-то так, ну и собственно вопрос:
Логи Linux являются доказательством в суде или нет?
Поясню вопрос, нет я не ронял им сервер и не знаю что с ним случилось, но есть подозрения что фирма Б просто ну смогла оперативно вернуть в работу сервер и обвинила меня что-бы оправдаться, и что-бы от их услуг не отказались. А имея на руках root-доступ к серверу, да и физический тоже, в логах можно много чего интересного написать, и дату модификации поменять, да что угодно, вот теперь и думаю чего ждать.
Если кто сталкивался подскажите как это все работает? Спасибо.
Спасибо всем за ответы, я тоже думаю что это просто понты и пугалки были скорее всего, но на всякий случай решил уточнить.
Да и вопрос все-таки заинтересовал меня про логи как доказательство чего либо, ну не могут они быть доказательством при возможности их изменения заинтересованной стороной! Этак можно вообще txt файл с моим признанием написать и в суд нести =) Но как же тогда, в такой ситуации, хоть что-то доказать?
Если они не могут поднять сервер, то и логи, как я понимаю, эти люди подделать тоже не способны. В отделе К тоже не дураки работают, и знают, где следы остаются от таких действий и куда копать, если дело серьёзное, так что если уверен в своей правоте и закладок не оставлял, бояться нечего.
1) Да понято, вместе напишут, не суть.
2) Они и сменили, но руководитель фирмы Б аргументировал мою вину тем, что можно удалить пару фалов и система проработает до перезагрузки, а потом упадет, так якобы я и сделал.
3) Пароли просто отправил на мыло руководителя фирмы А, обслуживала их it-фирма, где я работаю, договор на это был. Но я не оформлен официально на данный момент, на фрилансе.
По вашему вопросу много сказали ранее.
Я вам, да и всем, просто рекомендую передавать доступ к серверу отдельным актом работ по каждому серверу. В этом акте работ должны быть следующие пункты (возможно дополнение):
Создан новый пользователь для нового администратора (помним же, что под рутом сидеть атата)
Новому пользователю предоставлены права администратора (доступ к sudo)
Новый пользователь смог зайти в свою учетную запись и поменял свой пароль
Новый пользователь сменил пароль пользователя root
Старый пользователь, под которым работали вы удален. Полностью
Новому администратору продемонстрировано, что старый пользователь не имеет доступа как под своей учетной записью, так и под root (это так, на всякой случай)
Подпись обеих сторон желательна напротив каждой строчки. Составляется в двух экземплярах.
Во первых, руководитель фирмы Б писать заявление не может. Писать может только руководитель фирмы А.
Во вторых, фирма Б первое, что должна была сделать - это сменить пароли.
В третьих, вы как-то фиксировали передачу паролей фирме А? + хоть какой-то трудовой, гражданско-правовой договор, вообще что-то есть, что вы там работали?
По такой мелочи не будут судится, можете позвонить сами руководителю А, спросить как дела, рассказать про ситуацию с руководителем Б, выразить сожаление что сервер упал и попытаться по-доброму объяснить что не вы его роняли т.к. зла не держите, объяснить что не хотите сейчас соваться в это потому что когда двое занимаются одним сервером ничего хорошего не выйдет. В конце попросить не поддаваться на провокации и если какие-то сомнения у него пусть всё же сначала вам наберёт по телефону.
Да руководитель А в курсе всей ситуации, и думаю особо не заморачивается, ему рассказали что я во всем виноват а они герои восстанавливают теперь, да и все.
Суд дело не простое, будет идти долго, доказать в вашем случае что то сложно.
Аргументация простая, вы сдали все пароли, фирма обслуживающая обязана была поменять их, вы все пароли у себя удалили и зайти на сервер не могли, если в логах нет вашего айпи или ещё чего про доступ в момент крушения доказать ничего нельзя.
Ну да, логично вроде, просто заинтересовал вопрос логов - как доказательств, в момент обрушения ничего нет это понятно, а вот до - есть. Я же подключался и менял пароли и, в случае чего, у провайдера в логах это будет, а вот что я делал на сервере - есть только в логах на сервере, которые в данный момент может править коварный враг.
если вы не удаляли то все будет чики купи, ничего доказать толком нельзя, к тому же если у вас нет официального договора то можно сказать что вы на них не работали )))) и вообще чего они к вам пристали
Ну и тут ничего такого нет, есть и есть. Доказать что то сложно.
На основании чего они будут вам вообще иск то предъявлять )))) если сами лажать не будете не к чему придраться, к тому же суд дело довольно затратное на юриста, чаще всего просто пугают, я бы если ситуация усложнится подал бы встречный иск.
а потом по дружбе его уронил)) не доказывать что я там вообще не при делах, в случае чего, думаю не стоит, т.к. при должном усердии таки можно узнать через провайдера что я туда подключался и что-то делал. вопрос в том что?
я говорю - прост пароль сменил
они - по удалял пол системы, вот вам лог!
ну будет у вас адвокат , все доказательства тоже будут вам заранее изложены и доступны , так что можно аргументировать очень хорошо, главное тут не пустить на самотек
Вежливо, но настойчиво пошлите их на три буквы.
У них против вас ничего нет.
Самое худшее что может случиться - они подадут в суд.
Это непросто, им придется доказать факт неправомерного доступа, т.е что вы после окончания работы и передачи паролей получали доступ к серверу.
В общем обвинять вас будет очень сложно, а защитится будет легко.
Однако в случае судебного разбирательства придется потратиться на грамотного адвоката.
Это самое сложное, как показывает практика зачастую грамотного адвоката найти не так уж и легко, но тем не менее возможно.
В итоге -
Пока не подали в суд - вам ничего не надо предпринимать, просто игнорируйте.
Если подали в суд - нанимаете адвоката и наблюдаете за его работой.
Во первых если ты там испортил что то во время работы то это очень затруднительно назвать неправомерным доступом. Доступ то у тебя был как раз очень даже правомерный.
А доказать что ты оставил какую то закладку, которая все впоследствии разрушила - это просто нереально.
Т.е 99% что они ничего не докажут. А оставшийся один процент - на самом деле у них есть шанс доказать, - твое чистосердечное признание.
В общем если сам не сознаешься, не докажут, даже если это действительно сделал ты.
Ну да не неправомерный доступ, но какая-нибудь злонамеренная порча информации или что типа того, там даже не о закладках речь а о том что я тупо взял да и потер системные файлы, до перезагрузки все норм а потом не загрузилось.
Тоже не пойму как вообще такое можно доказать.
Кстати вопрос, если знаешь, логи от прова фиксируют только что пакеты бегали от такого то адреса на такой то, или более подробно? Будет ли в них разница между:
1. я подключился к серверу по ssh, залогинился, что-то там делал
2. я подключился к серверу по ssh, попробовал залогиниться, пароль не подошел, отключился
@Eskobar Вот уж нет, SSH трафик он даже если запишет (зачем? такое удовольствие слишком затратно и массово не применимо), без приватного ключа они всё равно ничего не дадут.
Если работы, по которым сейчас возникают претензии (даже если на текущий момент вы - фрилансер), осуществлялись на основании гражданско-правового договора, то все вопросы сейчас должны решаться в том же порядке, как это устновлено договором и в той же форме - то есть как минимум письменно с указанием всех претензий и их обоснованием от конторы А. Телефонные звонки не канают, поэтому лучше просто прекратить с ними телефонные переговоры и переводить все в письменную фиксируемую форму.
Вероятнее всего, вас реально троллят: отдел "К" даже напрямую заявления не принимают, принимают их просто отделения ВД, невладение матчастью может быть индикатором того, что это просто крикуны. Но на всякий случай надо бы учитывать следующее:
- нет состава "неправомерный доступ к серверу", есть ответственность за неправомерный доступ к охраняемой законом информации. То есть им нужно будет доказать, что инфа охраняема в установленном порядке - например, был не просто договор, но либо в нем упоминание, либо к нему приложение о том, что вы уведомлены в конфиденциальном характере всех сведений и данных, полученных при исполнении договора, и что установлен какой-то особый порядок работы и последующей передачи данных. Если спец. статус инфы не установлен, либо установлен, но не нарушен - повода для участия отдела "К" нету;
- даже самая безумная заява может быть принята, и вне зависимости от ее бредовости придется давать объяснение. В них, до появления реального защитника, лучше не грузить проверяющего тех. деталями, а упирать на то, что дело проистекает из гражданско-правовых отношений, на которые органы судебно-правоохранительные влиять не должны;
- надо различать тот самый уже упомянутый в комментах долгий и дорогой суд и то, куда "пишут в отдел "К": процедуры разные. Но в обоих случаях принимается в качестве доказательств то, что предоставляет заявитель (хоть бы и те же логи), а вторая сторона, которая просто не успела первая пожаловаться - только опровергает. Так что, на всякий случай, просто сохраняйте все, что может пригодиться в опровержении их возможных доводов.
Разузнай опыт фирмы Б в судебных делах. Если его нет - значит или берут на понт чтобы ты им на халяву всё сделал, или сами дураки, предложи им (а также и руководителю фирмы А) задать себе вопрос надо ли им это. Если такой опыт у них есть - то (если это не крутой крупный интегратор с крутыми клиентами, многолетней историей и огромным штатом) это судебные тролли - тогда тем более надо намекнуть фирме А с кем они связываются (их ждёт формальное отношение к работе, кривые недо решения и иски / угрозы исками "за неуплату" при отказе платить за хрень).
@Eskobar Можешь пригрозить этой фирме обращением в полицию. Т.е тебе фактически угрожают неизвестные тебе люди. Можно и реально обратиться в полицию. Но я думаю проще и эффективнее просто послать подальше.
@Eskobar "Как бы это разузнать только?" - разве это не выкладывается в онлайн? "Я понятия не имею что это за фирма, они не представились, к сожалению" - социнженерию врубай: во-первых можно заставить их представиться позвонив им с левого телефона и спросив с кем ты говоришь, самому можно прикрыться легендой что тебе дали этот телефон с рекомендацией, что они могут решить твои IT-проблемы. Как вариант можно дать телефон своего адвоката (даже если у тебя его нет - заведи новую симку и пусть отвечает кто-то другой) - скорее всего на него либо вообще не позвонят (если они просто понты гнули) либо позвонит их юрист (если они специализируются на этом). Ну и наверняка у тебя остались друзья в компании А, можно с ними поболтать если ты достаточно хорошо их знаешь.
Кстати на будущее: советую завести себе принцип: на каких бы тонах Вы ни расставались с клиентом, сколько бы он ни остался Вам должен, как бы ни было в лом, заканчивать общение надо сдачей (под подписи-печати сдал-принял, проверил истинность, вопросов больше не имею, такой-то-такой-то, дата) более-менее нормальной описательной документации (даже если её не вели - сядьте и сделайте) на систему с, как минимум, структурной схемой сети и полным списком всех известных Вам паролей (а также контактов на представителей сторонних организаций, взаимодействие с коротрыми Вы вели (например интернет провайдера)). Это одновременно и хороший профессионально-этический жест, и снятие с себя всех дальнейших вопросов (думаю ни клиенту ни Вам не надо, чтобы они потом постоянно звонили что-то переспрашивали) и юридически полезно (хотя, для последнего ещё лучше делать это при свидетелях третей стороны).
Учту. Просто ситуация была такая, что позвонили и сказали отдавайте нам пароли прям сейчас и до свидания. Ну я и отдал, не ожидал такого, раньше не сталкивался.
Не дойдет до суда. Презумпция невиновности пока действует. Самое страшное - это опера приедут, показания спросят с вас (потратите пару часов времени), но без доказательств закроют (дело, а не вас) за недостаточностью улик.
Ну я думаю, что в логах они не смогут нашаманить, так как если они не смогли поднять сервер, то и логи править надо уметь. Отдел К это конечно круто, но мелочью серьезно заниматься им просто впадлу. Скорее всего компании Б надо оправдаться перед компанией А.
Ну в логах может и смогут, просто у меня там не стандартная конфа стояла, не то чтобы что-то сложное, но не особо распространенное (proxmox), могли просто не сталкиваться с данной системой и все. А на то чтобы нарисовать что-то в логах много ума не надо, 5 минут в гугле и все.
Про отдел К я тоже так думаю, но руководитель фирмы Б заверял что "такие вопросы уже решал, и друзья там у него есть" - 90% это чушь и просто хотел напугать, но мало ли... всякое бывает, решил поинтересоваться как все устроено, на всякий случай.
Нарисовать можно что угодно, можно даже не рисовать, а просто подкинуть пакетик белого порошка в карман, если сильно надо. Но это крайности и просто так на это никто не пойдет.
А чтобы записи в логах что-то значили их должны подтверждать так же логи интернет провайдера этой фирмы, а так же логи вашего домашнего провайдера.
К тому же у вас там не совсем ясно с какого момента доступ стал несанкционированным. Передача паролей была? Официально зафиксирована?
Пароли просто отправил на мыло, после этого доступа не было, но кстати была "попытка" так сказать, просто попробовал зайти со старым паролем, проверял хватило ли ума поменять, т.к. были основания полагать что не хватило. Но именно залогиниться на сервер после передачи паролей я не смог, а то что я заблаговременно, до передачи, якобы что-то испортил доказать можно только логами, если рассматривать их как доказательство.
Во первых презумпцию невиновности никто не отменял. НО все-таки все что происходило лучше для самого себя записать, что бы потом если вдруг вызовут для объяснений не путаться. Во вторых поставьте на смартфон приложения записи звонков, если что можно будет предъявить запись. только имейте ввиду некоторые смарт фоны блокируют возможность записи входящих. лично самому пришлось осадить пару бывших нанимателей.
Средний
Простой
