Anatoly Skoblov (skoblov) wrote,
Anatoly Skoblov
skoblov

Categories:

События в Украине, как катализатор

Я опять про Украину ... вру - на самом деле не про нее. Украина - лишь повод. Я про наши, хакерско-программистские смехухулечки :)

Коллега sporaw (а несмотря на откровенно разные политические взгляды, он, несомненно, мне коллега) давеча выложил дивный слив, подхваченный политтрешем и далее - всеми СМИ по кругу. Краткое содержание слива:

некие украинские анонимусы вскрыли почту некого украинского "военного дипломата" полковника Игоря Протсика, которую он, в лучших традициях, держал на гугле - вместе с архивом переписки за много лет. Архив большой, но унылый - обычные бюрократические будни, сводки с полей наблюдения за вероятным противником, и т.д. - я смотреть не стал, довольствовался тем, что Рабинович напел. И посреди всего этого уныния - дивная история про американского атташе, пославшего полковнику на его ящик в gmail'е 9 марта указание о срочном проведении акции. Его русский перевод прекрасен, как роман Юлиана Семенова:




События быстро развиваются в Крыму. Наши друзья в Вашингтоне ожидают более решительных действий от сети.
Я думаю, пришло время для реализации плана, который мы обсуждали в последнее время. Ваша задача, чтобы вызвать некоторые проблемы транспортных узлов на юго-востоке, чтобы подставить соседа. Это создаст благоприятные условия для Пентагона и Компании, чтобы начать действовать. Не тратьте время, мой друг.


На что наш полковник немедленно, через пару дней, 11 марта, отправляет шифровку исполнителям акции (персона гуглится - реальный украинский националист, с которым "лучшие бойцы Тризуба") с указанием провести небольшую акцию на военном аэродроме в Мелитополе от имени бойцов российской армии и получает от исполнителя ответ, что заказ принят. Вот как все у них, в настоящей жизни, это не какое-то там глупое голливудское кино: американский атташе присылает указание, украинский полковник (по его утверждению - военный дипломат) отправляет заказ радикалам, которые у него волшебных образом оказываются под рукой (что нетипично для военного дипломата), и те без лишних вопросов, в одно письмо, принимаются за дело.

Все было бы весьма забавно, и послужило бы лишь предметом для пустых дискуссий на тему "так выдумали или нет", если бы sporaw относительно недавно не опубликовал пошаговую инструкцию для валидации украденых с гугля писем с помощью цифровой подписи DKIM (изначально предназначенной для борьбы со спамом), которая (если присутствует) удостоверяет от имени почтовой службы отправителя, что письмо отправлено именно ее клиентом, именно в указанное в заголовке время и (опционально, в письмах присуствует) - что тело письма не менялось. Никто не может подделать цифровую подпись гуля в сигнатуре DKIM. В общем - нет причин не верить оригинальности писем, но ...

1. Письмо от американца не содержало сигнатуры. Впрочем, как и куча писем от него же ранее - он пишет через ведомственный почтовый сервер, администратор которого не удосужился установить поддержку DKIM (а сигнатуру ставит сервер отправителя письма). Но американец точно не выдуман - в архиве куча старых писем Процика к нему и его ответы на них.

При это стиль письма от американца удивил внимательных читателей (см. в комментариях у Политтреша или у статьи на CNEWS;).

В архиве нет ответа Процика американцу на его письмо о необходимости начала давно продуманного плана, который бы косвенно подтвердил реальность письма от американца. Увы.

2. В архиве почты оказалось письмо от гугля о начале процедуры восстановления пароля, присланное в 05:47 (по американскому времени, таймзона -7) 11 марта. Это как раз был взлом. Письмо от американца - до того (9 марта), а вот ответное письмо Процика с указанием о теракте и картой - отправлено в 05:50, через 3 минуты. И оно - настоящее, с подписью. Правда есть 2 вопрос: если хакеры уже поменяли ему пароль, то как он отправил свое письмо с инструкцией? А если не поменяли (или у него осталась активная сессия в почте, не знаю, убивает ли их гугль при смене пароля), то он, вообще-то должен был увидеть письмо о смене пароля и что-то заподозрить. Конечно, это подразумевает наличие здравого смысла и соображений о безопасности у профессионального военного :), но чем черт не шутит - вдруг такие встречаются. Но в общем, очень подозрительной выглядит идея, что Процик сидел и ждал, пока его сломают, чтобы именно в это время отправить свое задание исполнителям теракта.

3. Однако, исполнитель ответил и переслал указания кому-то там еще. Сигнатура в письме есть. Все сомневающиеся идут гуглить имейл исполнителя и убеждаются, что это - реальный имейл реальной персоны пробандеровской ориентации. Не выдуманная для подставы личность. Очевидно, что быстро поломать 2 нужных аккаунта нереально. Пасьянс сходится? Сомнения долой? Казалось бы да, однако ...

В архиве нет более ни одного письма этому человеку. Вот американцу Процик писал до того не раз, получал ответы, а бандеровцу - ни разу. А тут ррррааазз - и сразу указания о проведении акции на аэродроме, и бодрый прием заказа без вопросов. Может все-таки можно как-то подделать сигнатуру или сломать на заказ 2 ящика?

А не надо ломать второй ящик какого-то конкретного бандеровца. Зачем? В интернете собираются все засвеченные имейлы радикалов, благо их десятки, все по очереди проверяются на прочность,  кто-то точно окажется лохом. После чего взломанный радикал назначается "исполнителем терракта", которому напишет взломанный Процик и даже получит ответ. Все чин-чинарем, с сигнатурами от гугля о достоверности писем.

Конечно, это всего-лишь предположение о том, как бы могла бы быть сделана такая фальшивка. Я никоим образом не хочу сказать, что это точно подделка или точно настоящая переписка. С какой-то вероятностью (небольшой, на мой взгляд) она может быть реальной, несмотря на все сомнения и возможности фальсификации. Поэтому sporaw поступил абсолютно верно, что опубликовал ее - если есть хоть какой-то шанс, что это предотвратит терракт, этим шансом стоит воспользоваться. Тем более, что сам по себе факт вскрытой переписки военных весьма забавен и поучителен. Но мне искренне жаль, что он забыл про свой профессионализм и решил поверить, что эта переписка точно настоящая.

UPDATE:

Да, я лох - почтовый ящик второго корреспондента точно был вскрыт. Хакеры перестарались с приданием реалистичности этой переписке.

Смотрим в архив писем, выбираем ИСХОДЯЩИЕ письма от Протсика и ищем в них DKIM-Signature. Волшебным образом оно оказывается в одном только письме - том самом, где Протсик отправляет задание Лобайчуку. В остальных - нет. Почему? Видимо гугль сохраняет письма в папку "Отправленные" без сигнатуры, а ставит сигнатуру уже при отправке. Т.е. это письмо было взято не из аккаунта Протсика, а из аккаунта Лобайчука, т.е. он точно был взломан. А значит хакеры и ответить могли.
Tags: Срач
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 11 comments