You are viewing skoblov

Anatoly Skoblov
События в Украине, как катализатор 
13th-Mar-2014 04:30 pm
Змей
Я опять про Украину ... вру - на самом деле не про нее. Украина - лишь повод. Я про наши, хакерско-программистские смехухулечки :)

Коллега sporaw (а несмотря на откровенно разные политические взгляды, он, несомненно, мне коллега) давеча выложил дивный слив, подхваченный политтрешем и далее - всеми СМИ по кругу. Краткое содержание слива:

некие украинские анонимусы вскрыли почту некого украинского "военного дипломата" полковника Игоря Протсика, которую он, в лучших традициях, держал на гугле - вместе с архивом переписки за много лет. Архив большой, но унылый - обычные бюрократические будни, сводки с полей наблюдения за вероятным противником, и т.д. - я смотреть не стал, довольствовался тем, что Рабинович напел. И посреди всего этого уныния - дивная история про американского атташе, пославшего полковнику на его ящик в gmail'е 9 марта указание о срочном проведении акции. Его русский перевод прекрасен, как роман Юлиана Семенова:




События быстро развиваются в Крыму. Наши друзья в Вашингтоне ожидают более решительных действий от сети.
Я думаю, пришло время для реализации плана, который мы обсуждали в последнее время. Ваша задача, чтобы вызвать некоторые проблемы транспортных узлов на юго-востоке, чтобы подставить соседа. Это создаст благоприятные условия для Пентагона и Компании, чтобы начать действовать. Не тратьте время, мой друг.


На что наш полковник немедленно, через пару дней, 11 марта, отправляет шифровку исполнителям акции (персона гуглится - реальный украинский националист, с которым "лучшие бойцы Тризуба") с указанием провести небольшую акцию на военном аэродроме в Мелитополе от имени бойцов российской армии и получает от исполнителя ответ, что заказ принят. Вот как все у них, в настоящей жизни, это не какое-то там глупое голливудское кино: американский атташе присылает указание, украинский полковник (по его утверждению - военный дипломат) отправляет заказ радикалам, которые у него волшебных образом оказываются под рукой (что нетипично для военного дипломата), и те без лишних вопросов, в одно письмо, принимаются за дело.

Все было бы весьма забавно, и послужило бы лишь предметом для пустых дискуссий на тему "так выдумали или нет", если бы sporaw относительно недавно не опубликовал пошаговую инструкцию для валидации украденых с гугля писем с помощью цифровой подписи DKIM (изначально предназначенной для борьбы со спамом), которая (если присутствует) удостоверяет от имени почтовой службы отправителя, что письмо отправлено именно ее клиентом, именно в указанное в заголовке время и (опционально, в письмах присуствует) - что тело письма не менялось. Никто не может подделать цифровую подпись гуля в сигнатуре DKIM. В общем - нет причин не верить оригинальности писем, но ...

1. Письмо от американца не содержало сигнатуры. Впрочем, как и куча писем от него же ранее - он пишет через ведомственный почтовый сервер, администратор которого не удосужился установить поддержку DKIM (а сигнатуру ставит сервер отправителя письма). Но американец точно не выдуман - в архиве куча старых писем Процика к нему и его ответы на них.

При это стиль письма от американца удивил внимательных читателей (см. в комментариях у Политтреша или у статьи на CNEWS;).

В архиве нет ответа Процика американцу на его письмо о необходимости начала давно продуманного плана, который бы косвенно подтвердил реальность письма от американца. Увы.

2. В архиве почты оказалось письмо от гугля о начале процедуры восстановления пароля, присланное в 05:47 (по американскому времени, таймзона -7) 11 марта. Это как раз был взлом. Письмо от американца - до того (9 марта), а вот ответное письмо Процика с указанием о теракте и картой - отправлено в 05:50, через 3 минуты. И оно - настоящее, с подписью. Правда есть 2 вопрос: если хакеры уже поменяли ему пароль, то как он отправил свое письмо с инструкцией? А если не поменяли (или у него осталась активная сессия в почте, не знаю, убивает ли их гугль при смене пароля), то он, вообще-то должен был увидеть письмо о смене пароля и что-то заподозрить. Конечно, это подразумевает наличие здравого смысла и соображений о безопасности у профессионального военного :), но чем черт не шутит - вдруг такие встречаются. Но в общем, очень подозрительной выглядит идея, что Процик сидел и ждал, пока его сломают, чтобы именно в это время отправить свое задание исполнителям теракта.

3. Однако, исполнитель ответил и переслал указания кому-то там еще. Сигнатура в письме есть. Все сомневающиеся идут гуглить имейл исполнителя и убеждаются, что это - реальный имейл реальной персоны пробандеровской ориентации. Не выдуманная для подставы личность. Очевидно, что быстро поломать 2 нужных аккаунта нереально. Пасьянс сходится? Сомнения долой? Казалось бы да, однако ...

В архиве нет более ни одного письма этому человеку. Вот американцу Процик писал до того не раз, получал ответы, а бандеровцу - ни разу. А тут ррррааазз - и сразу указания о проведении акции на аэродроме, и бодрый прием заказа без вопросов. Может все-таки можно как-то подделать сигнатуру или сломать на заказ 2 ящика?

А не надо ломать второй ящик какого-то конкретного бандеровца. Зачем? В интернете собираются все засвеченные имейлы радикалов, благо их десятки, все по очереди проверяются на прочность,  кто-то точно окажется лохом. После чего взломанный радикал назначается "исполнителем терракта", которому напишет взломанный Процик и даже получит ответ. Все чин-чинарем, с сигнатурами от гугля о достоверности писем.

Конечно, это всего-лишь предположение о том, как бы могла бы быть сделана такая фальшивка. Я никоим образом не хочу сказать, что это точно подделка или точно настоящая переписка. С какой-то вероятностью (небольшой, на мой взгляд) она может быть реальной, несмотря на все сомнения и возможности фальсификации. Поэтому sporaw поступил абсолютно верно, что опубликовал ее - если есть хоть какой-то шанс, что это предотвратит терракт, этим шансом стоит воспользоваться. Тем более, что сам по себе факт вскрытой переписки военных весьма забавен и поучителен. Но мне искренне жаль, что он забыл про свой профессионализм и решил поверить, что эта переписка точно настоящая.

UPDATE:

Да, я лох - почтовый ящик второго корреспондента точно был вскрыт. Хакеры перестарались с приданием реалистичности этой переписке.

Смотрим в архив писем, выбираем ИСХОДЯЩИЕ письма от Протсика и ищем в них DKIM-Signature. Волшебным образом оно оказывается в одном только письме - том самом, где Протсик отправляет задание Лобайчуку. В остальных - нет. Почему? Видимо гугль сохраняет письма в папку "Отправленные" без сигнатуры, а ставит сигнатуру уже при отправке. Т.е. это письмо было взято не из аккаунта Протсика, а из аккаунта Лобайчука, т.е. он точно был взломан. А значит хакеры и ответить могли.
Comments 
13th-Mar-2014 01:23 pm (UTC)
Правда есть 2 вопрос: если хакеры уже поменяли ему пароль, то как он отправил свое письмо с инструкцией?
Ну например пароль он поменял сам. Если же пароль поменяли хакеры - почему они не удалили письмо о смене пароля. Они не могли его не заметить.
Меня больше насторожило, что X-Originating-IP имеется только в одном единственном письме с mail.ru
13th-Mar-2014 01:33 pm (UTC)
Хакеры - тоже не боги. Могли не подумать или забыть.

Процик дал интервью синьюсу и назвал то же самое время взлома.

В общем, главное, что вижу я - как сделать такой фейк. А остальное - не мое дело.
13th-Mar-2014 01:43 pm (UTC)
Объясните, в принципе зачем столь долгое обсуждение - возможно ли подделать/сломать и прочее.
Что мешает с одного адреса(любого) отсылать на другой адрес(любой), потом просто поправить в заголовках электронные адреса и все - готова деза. И никакого сравнения есть там DKIM или его нет - не надо...
13th-Mar-2014 01:49 pm (UTC)
Можно. Можно вообще сесть и написать все самому, вставить заголовки в письма и т.д.

Но никто не поверит. DKIM гарантирует, что это действительно письмо от данного отправителя, отправленное в данное время с данным содержимым. Очень ценная гарантия для старых писем, посланных до взлома!
13th-Mar-2014 01:51 pm (UTC)
А что - по DKIM можно отследить письмо?! И получить информацию по данному письму?! Что именно с этого адресата и на указанного отправлялся?!
Покажите ссылку - как!
13th-Mar-2014 02:01 pm (UTC)
Не отследить, а получить подтверждение, что это именно то письмо, которое было отправлено данным клиентом гугля (если оно с гугля) именно с этими заголовками и содержимым. Подписано цифровой подписью гугля

У sporaw в комментариях есть ссылки на тулзы для проверки

про DKIM: http://sporaw.livejournal.com/100977.html
13th-Mar-2014 02:57 pm (UTC)
Я тут протормозил немножко и не допер сразу, что видно, что Лобайчука тоже вскрыли. Написал апдейт.
14th-Mar-2014 05:07 am (UTC)
Ну я как бы сразу на это вам указывал :)
14th-Mar-2014 07:12 am (UTC)
Не заметил сразу эту мысль :)

15th-Mar-2014 06:49 am (UTC) - Спасибо за интересный ответ
Anonymous
Приятно видеть, как при разных политических взглядах идет аккуратный анализ без каких бы то ни было оскорблений. Профессионализм на первом плане =)
27th-Apr-2014 11:41 pm (UTC)
-)
This page was loaded Nov 1st 2014, 3:37 am GMT.