Дешёвый фокус с разоблачением
Сейчас в Интернете проводится интересная провокация против Навального. Когда-то его почта была взломана и её выложили в Интернет, добавив туда ряд писем. Причём подлинность писем доказывается ссылаясь на заголовок DKIM. Ну что же, на примере покажу, что для подтверждения получателя эта технология совершенно непригодна. Собственно не нужно даже иметь доступа к почтовому ящику получателя, чтобы сформировать письмо, которое будет выглядеть как направленное ему, и пройдёт проверку тем способом, которым нам предлагают воспользоваться.
Вот пример письма (со служебными заголовками), которое выглядит как отправленное адресату: adressnesuschestvuet@domena-takogo-net-voobsche-net.ru: http://dl.dropbox.com/u/45025517/samplemail.txt. По ссылке откроется текстовый документ, для того, чтобы убедиться, что он проходит проверку точно так же, как "письма Навального", всё его содержимое нужно выделить, скопировать, открыть страницу http://9vx.org/~dho/dkim_validate.php, где нам предлагается проверять подлинность писем, вставить содержимое буфера обмена в большое текстовое поле на странице, нажать кнопку Verify и вуаля: получаем результат:
Results:
pass
signature identity: @yahoo.com
verify result: pass
signature identity: askharitonov@yahoo.com
verify result: pass
Если содержимое письмо поменять (например вместо test написать там Test), письмо уже не пройдёт проверку:
Results:
fail
signature identity: @yahoo.com
verify result: fail (body has been altered)
signature identity: askharitonov@yahoo.com
verify result: fail (message has been altered)
То есть письмо прошло проверку, при этом я не имел доступа ни к почтовому ящику получателя (адреса просто не существует), ни, естественно, какого-то неавторизованного доступа к серверам Yahoo. Несуществующий адрес был выбран просто в качестве иллюстрации, там мог быть и адрес Навального, и адрес Путина, всё, что угодно. Просто не стал засорять людям почту :-) Но адрес может быть существующий, я собственно сначала проверил это на своих существующих адресах, но потом решил, что пример, где я отправляю письмо самому себе, будет выглядеть совершенно неубедительным :-)
UPD:
Как оказалось, письма Навальному с адреса boleggio@yahoo.it были распределены по времени следующим образом: сначала одно письмо в апреле 2009 года (там нет никакого "компромата"), далее перерыв и потом пошли письма начиная с 20 января 2010 года и заканчивая 14 марта 2010 года. При этом, что интересно, именно 20 января 2010 года Навальный пишет у себя в блоге, что ноутбук его жены поймал вирус: http://navalny.livejournal.com/422653.html. Совпадение? Какое-то уж слишком странное. А может всё-таки тогда и были украдены его пароли на почту? Тогда могла быть реализована следующая схема: с адреса, с которым он когда-то переписывался, были отправлены ряд писем, которые или были им не замечены (взломщики могли сразу же удалять письма в почтовом ящике Навального), или были проигнорированы как спам, а сейчас нам эти письма и показывают. Контроль над адресом отправителя, boleggio@yahoo.it, мог быть получен разными способами. Известно, что многие пользователи ставят простые пароли, возможно это был один из адресов, которые удалось взломать. Или может тот адрес к январю 2010 года уже не существовал, и был зарегистрирован взломщиками заново.
В общем, нам показали письма, о которых можно сказать лишь то, что они отправлялись Навальному в конкретные даты с адреса boleggio@yahoo.it, но содержимое этих писем контролировал отправитель, так же кто-то посторонний мог контролировать в то время почтовый ящик самого Навального, и началась "переписка" с "компроматом" именно тогда, когда почта Навального могла быть взломана. То есть скорее всего перед нами результат хорошо сделанной фальшивки.
Вот пример письма (со служебными заголовками), которое выглядит как отправленное адресату: adressnesuschestvuet@domena-takogo-net-voobsche-net.ru: http://dl.dropbox.com/u/45025517/samplemail.txt. По ссылке откроется текстовый документ, для того, чтобы убедиться, что он проходит проверку точно так же, как "письма Навального", всё его содержимое нужно выделить, скопировать, открыть страницу http://9vx.org/~dho/dkim_validate.php, где нам предлагается проверять подлинность писем, вставить содержимое буфера обмена в большое текстовое поле на странице, нажать кнопку Verify и вуаля: получаем результат:
Results:
pass
signature identity: @yahoo.com
verify result: pass
signature identity: askharitonov@yahoo.com
verify result: pass
Если содержимое письмо поменять (например вместо test написать там Test), письмо уже не пройдёт проверку:
Results:
fail
signature identity: @yahoo.com
verify result: fail (body has been altered)
signature identity: askharitonov@yahoo.com
verify result: fail (message has been altered)
То есть письмо прошло проверку, при этом я не имел доступа ни к почтовому ящику получателя (адреса просто не существует), ни, естественно, какого-то неавторизованного доступа к серверам Yahoo. Несуществующий адрес был выбран просто в качестве иллюстрации, там мог быть и адрес Навального, и адрес Путина, всё, что угодно. Просто не стал засорять людям почту :-) Но адрес может быть существующий, я собственно сначала проверил это на своих существующих адресах, но потом решил, что пример, где я отправляю письмо самому себе, будет выглядеть совершенно неубедительным :-)
UPD:
Как оказалось, письма Навальному с адреса boleggio@yahoo.it были распределены по времени следующим образом: сначала одно письмо в апреле 2009 года (там нет никакого "компромата"), далее перерыв и потом пошли письма начиная с 20 января 2010 года и заканчивая 14 марта 2010 года. При этом, что интересно, именно 20 января 2010 года Навальный пишет у себя в блоге, что ноутбук его жены поймал вирус: http://navalny.livejournal.com/422653.html. Совпадение? Какое-то уж слишком странное. А может всё-таки тогда и были украдены его пароли на почту? Тогда могла быть реализована следующая схема: с адреса, с которым он когда-то переписывался, были отправлены ряд писем, которые или были им не замечены (взломщики могли сразу же удалять письма в почтовом ящике Навального), или были проигнорированы как спам, а сейчас нам эти письма и показывают. Контроль над адресом отправителя, boleggio@yahoo.it, мог быть получен разными способами. Известно, что многие пользователи ставят простые пароли, возможно это был один из адресов, которые удалось взломать. Или может тот адрес к январю 2010 года уже не существовал, и был зарегистрирован взломщиками заново.
В общем, нам показали письма, о которых можно сказать лишь то, что они отправлялись Навальному в конкретные даты с адреса boleggio@yahoo.it, но содержимое этих писем контролировал отправитель, так же кто-то посторонний мог контролировать в то время почтовый ящик самого Навального, и началась "переписка" с "компроматом" именно тогда, когда почта Навального могла быть взломана. То есть скорее всего перед нами результат хорошо сделанной фальшивки.