События в Украине, как катализатор
Я опять про Украину ... вру - на самом деле не про нее. Украина - лишь повод. Я про наши, хакерско-программистские смехухулечки :)
Коллега sporaw (а несмотря на откровенно разные политические взгляды, он, несомненно, мне коллега) давеча выложил дивный слив, подхваченный политтрешем и далее - всеми СМИ по кругу. Краткое содержание слива:
некие украинские анонимусы вскрыли почту некого украинского "военного дипломата" полковника Игоря Протсика, которую он, в лучших традициях, держал на гугле - вместе с архивом переписки за много лет. Архив большой, но унылый - обычные бюрократические будни, сводки с полей наблюдения за вероятным противником, и т.д. - я смотреть не стал, довольствовался тем, что Рабинович напел. И посреди всего этого уныния - дивная история про американского атташе, пославшего полковнику на его ящик в gmail'е 9 марта указание о срочном проведении акции. Его русский перевод прекрасен, как роман Юлиана Семенова:
События быстро развиваются в Крыму. Наши друзья в Вашингтоне ожидают более решительных действий от сети.
Я думаю, пришло время для реализации плана, который мы обсуждали в последнее время. Ваша задача, чтобы вызвать некоторые проблемы транспортных узлов на юго-востоке, чтобы подставить соседа. Это создаст благоприятные условия для Пентагона и Компании, чтобы начать действовать. Не тратьте время, мой друг.
На что наш полковник немедленно, через пару дней, 11 марта, отправляет шифровку исполнителям акции (персона гуглится - реальный украинский националист, с которым "лучшие бойцы Тризуба") с указанием провести небольшую акцию на военном аэродроме в Мелитополе от имени бойцов российской армии и получает от исполнителя ответ, что заказ принят. Вот как все у них, в настоящей жизни, это не какое-то там глупое голливудское кино: американский атташе присылает указание, украинский полковник (по его утверждению - военный дипломат) отправляет заказ радикалам, которые у него волшебных образом оказываются под рукой (что нетипично для военного дипломата), и те без лишних вопросов, в одно письмо, принимаются за дело.
Все было бы весьма забавно, и послужило бы лишь предметом для пустых дискуссий на тему "так выдумали или нет", если бы sporaw относительно недавно не опубликовал пошаговую инструкцию для валидации украденых с гугля писем с помощью цифровой подписи DKIM (изначально предназначенной для борьбы со спамом), которая (если присутствует) удостоверяет от имени почтовой службы отправителя, что письмо отправлено именно ее клиентом, именно в указанное в заголовке время и (опционально, в письмах присуствует) - что тело письма не менялось. Никто не может подделать цифровую подпись гуля в сигнатуре DKIM. В общем - нет причин не верить оригинальности писем, но ...
1. Письмо от американца не содержало сигнатуры. Впрочем, как и куча писем от него же ранее - он пишет через ведомственный почтовый сервер, администратор которого не удосужился установить поддержку DKIM (а сигнатуру ставит сервер отправителя письма). Но американец точно не выдуман - в архиве куча старых писем Процика к нему и его ответы на них.
При это стиль письма от американца удивил внимательных читателей (см. в комментариях у Политтреша или у статьи на CNEWS;).
В архиве нет ответа Процика американцу на его письмо о необходимости начала давно продуманного плана, который бы косвенно подтвердил реальность письма от американца. Увы.
2. В архиве почты оказалось письмо от гугля о начале процедуры восстановления пароля, присланное в 05:47 (по американскому времени, таймзона -7) 11 марта. Это как раз был взлом. Письмо от американца - до того (9 марта), а вот ответное письмо Процика с указанием о теракте и картой - отправлено в 05:50, через 3 минуты. И оно - настоящее, с подписью. Правда есть 2 вопрос: если хакеры уже поменяли ему пароль, то как он отправил свое письмо с инструкцией? А если не поменяли (или у него осталась активная сессия в почте, не знаю, убивает ли их гугль при смене пароля), то он, вообще-то должен был увидеть письмо о смене пароля и что-то заподозрить. Конечно, это подразумевает наличие здравого смысла и соображений о безопасности у профессионального военного :), но чем черт не шутит - вдруг такие встречаются. Но в общем, очень подозрительной выглядит идея, что Процик сидел и ждал, пока его сломают, чтобы именно в это время отправить свое задание исполнителям теракта.
3. Однако, исполнитель ответил и переслал указания кому-то там еще. Сигнатура в письме есть. Все сомневающиеся идут гуглить имейл исполнителя и убеждаются, что это - реальный имейл реальной персоны пробандеровской ориентации. Не выдуманная для подставы личность. Очевидно, что быстро поломать 2 нужных аккаунта нереально. Пасьянс сходится? Сомнения долой? Казалось бы да, однако ...
В архиве нет более ни одного письма этому человеку. Вот американцу Процик писал до того не раз, получал ответы, а бандеровцу - ни разу. А тут ррррааазз - и сразу указания о проведении акции на аэродроме, и бодрый прием заказа без вопросов. Может все-таки можно как-то подделать сигнатуру или сломать на заказ 2 ящика?
А не надо ломать второй ящик какого-то конкретного бандеровца. Зачем? В интернете собираются все засвеченные имейлы радикалов, благо их десятки, все по очереди проверяются на прочность, кто-то точно окажется лохом. После чего взломанный радикал назначается "исполнителем терракта", которому напишет взломанный Процик и даже получит ответ. Все чин-чинарем, с сигнатурами от гугля о достоверности писем.
Конечно, это всего-лишь предположение о том, как бы могла бы быть сделана такая фальшивка. Я никоим образом не хочу сказать, что это точно подделка или точно настоящая переписка. С какой-то вероятностью (небольшой, на мой взгляд) она может быть реальной, несмотря на все сомнения и возможности фальсификации. Поэтому sporaw поступил абсолютно верно, что опубликовал ее - если есть хоть какой-то шанс, что это предотвратит терракт, этим шансом стоит воспользоваться. Тем более, что сам по себе факт вскрытой переписки военных весьма забавен и поучителен. Но мне искренне жаль, что он забыл про свой профессионализм и решил поверить, что эта переписка точно настоящая.
UPDATE:
Да, я лох - почтовый ящик второго корреспондента точно был вскрыт. Хакеры перестарались с приданием реалистичности этой переписке.
Смотрим в архив писем, выбираем ИСХОДЯЩИЕ письма от Протсика и ищем в них DKIM-Signature. Волшебным образом оно оказывается в одном только письме - том самом, где Протсик отправляет задание Лобайчуку. В остальных - нет. Почему? Видимо гугль сохраняет письма в папку "Отправленные" без сигнатуры, а ставит сигнатуру уже при отправке. Т.е. это письмо было взято не из аккаунта Протсика, а из аккаунта Лобайчука, т.е. он точно был взломан. А значит хакеры и ответить могли.
Коллега sporaw (а несмотря на откровенно разные политические взгляды, он, несомненно, мне коллега) давеча выложил дивный слив, подхваченный политтрешем и далее - всеми СМИ по кругу. Краткое содержание слива:
некие украинские анонимусы вскрыли почту некого украинского "военного дипломата" полковника Игоря Протсика, которую он, в лучших традициях, держал на гугле - вместе с архивом переписки за много лет. Архив большой, но унылый - обычные бюрократические будни, сводки с полей наблюдения за вероятным противником, и т.д. - я смотреть не стал, довольствовался тем, что Рабинович напел. И посреди всего этого уныния - дивная история про американского атташе, пославшего полковнику на его ящик в gmail'е 9 марта указание о срочном проведении акции. Его русский перевод прекрасен, как роман Юлиана Семенова:
События быстро развиваются в Крыму. Наши друзья в Вашингтоне ожидают более решительных действий от сети.
Я думаю, пришло время для реализации плана, который мы обсуждали в последнее время. Ваша задача, чтобы вызвать некоторые проблемы транспортных узлов на юго-востоке, чтобы подставить соседа. Это создаст благоприятные условия для Пентагона и Компании, чтобы начать действовать. Не тратьте время, мой друг.
На что наш полковник немедленно, через пару дней, 11 марта, отправляет шифровку исполнителям акции (персона гуглится - реальный украинский националист, с которым "лучшие бойцы Тризуба") с указанием провести небольшую акцию на военном аэродроме в Мелитополе от имени бойцов российской армии и получает от исполнителя ответ, что заказ принят. Вот как все у них, в настоящей жизни, это не какое-то там глупое голливудское кино: американский атташе присылает указание, украинский полковник (по его утверждению - военный дипломат) отправляет заказ радикалам, которые у него волшебных образом оказываются под рукой (что нетипично для военного дипломата), и те без лишних вопросов, в одно письмо, принимаются за дело.
Все было бы весьма забавно, и послужило бы лишь предметом для пустых дискуссий на тему "так выдумали или нет", если бы sporaw относительно недавно не опубликовал пошаговую инструкцию для валидации украденых с гугля писем с помощью цифровой подписи DKIM (изначально предназначенной для борьбы со спамом), которая (если присутствует) удостоверяет от имени почтовой службы отправителя, что письмо отправлено именно ее клиентом, именно в указанное в заголовке время и (опционально, в письмах присуствует) - что тело письма не менялось. Никто не может подделать цифровую подпись гуля в сигнатуре DKIM. В общем - нет причин не верить оригинальности писем, но ...
1. Письмо от американца не содержало сигнатуры. Впрочем, как и куча писем от него же ранее - он пишет через ведомственный почтовый сервер, администратор которого не удосужился установить поддержку DKIM (а сигнатуру ставит сервер отправителя письма). Но американец точно не выдуман - в архиве куча старых писем Процика к нему и его ответы на них.
При это стиль письма от американца удивил внимательных читателей (см. в комментариях у Политтреша или у статьи на CNEWS;).
В архиве нет ответа Процика американцу на его письмо о необходимости начала давно продуманного плана, который бы косвенно подтвердил реальность письма от американца. Увы.
2. В архиве почты оказалось письмо от гугля о начале процедуры восстановления пароля, присланное в 05:47 (по американскому времени, таймзона -7) 11 марта. Это как раз был взлом. Письмо от американца - до того (9 марта), а вот ответное письмо Процика с указанием о теракте и картой - отправлено в 05:50, через 3 минуты. И оно - настоящее, с подписью. Правда есть 2 вопрос: если хакеры уже поменяли ему пароль, то как он отправил свое письмо с инструкцией? А если не поменяли (или у него осталась активная сессия в почте, не знаю, убивает ли их гугль при смене пароля), то он, вообще-то должен был увидеть письмо о смене пароля и что-то заподозрить. Конечно, это подразумевает наличие здравого смысла и соображений о безопасности у профессионального военного :), но чем черт не шутит - вдруг такие встречаются. Но в общем, очень подозрительной выглядит идея, что Процик сидел и ждал, пока его сломают, чтобы именно в это время отправить свое задание исполнителям теракта.
3. Однако, исполнитель ответил и переслал указания кому-то там еще. Сигнатура в письме есть. Все сомневающиеся идут гуглить имейл исполнителя и убеждаются, что это - реальный имейл реальной персоны пробандеровской ориентации. Не выдуманная для подставы личность. Очевидно, что быстро поломать 2 нужных аккаунта нереально. Пасьянс сходится? Сомнения долой? Казалось бы да, однако ...
В архиве нет более ни одного письма этому человеку. Вот американцу Процик писал до того не раз, получал ответы, а бандеровцу - ни разу. А тут ррррааазз - и сразу указания о проведении акции на аэродроме, и бодрый прием заказа без вопросов. Может все-таки можно как-то подделать сигнатуру или сломать на заказ 2 ящика?
А не надо ломать второй ящик какого-то конкретного бандеровца. Зачем? В интернете собираются все засвеченные имейлы радикалов, благо их десятки, все по очереди проверяются на прочность, кто-то точно окажется лохом. После чего взломанный радикал назначается "исполнителем терракта", которому напишет взломанный Процик и даже получит ответ. Все чин-чинарем, с сигнатурами от гугля о достоверности писем.
Конечно, это всего-лишь предположение о том, как бы могла бы быть сделана такая фальшивка. Я никоим образом не хочу сказать, что это точно подделка или точно настоящая переписка. С какой-то вероятностью (небольшой, на мой взгляд) она может быть реальной, несмотря на все сомнения и возможности фальсификации. Поэтому sporaw поступил абсолютно верно, что опубликовал ее - если есть хоть какой-то шанс, что это предотвратит терракт, этим шансом стоит воспользоваться. Тем более, что сам по себе факт вскрытой переписки военных весьма забавен и поучителен. Но мне искренне жаль, что он забыл про свой профессионализм и решил поверить, что эта переписка точно настоящая.
UPDATE:
Да, я лох - почтовый ящик второго корреспондента точно был вскрыт. Хакеры перестарались с приданием реалистичности этой переписке.
Смотрим в архив писем, выбираем ИСХОДЯЩИЕ письма от Протсика и ищем в них DKIM-Signature. Волшебным образом оно оказывается в одном только письме - том самом, где Протсик отправляет задание Лобайчуку. В остальных - нет. Почему? Видимо гугль сохраняет письма в папку "Отправленные" без сигнатуры, а ставит сигнатуру уже при отправке. Т.е. это письмо было взято не из аккаунта Протсика, а из аккаунта Лобайчука, т.е. он точно был взломан. А значит хакеры и ответить могли.