“Бред сивой кобылы” - Крис Касперски об экспертизе Гришы-Полтишка
Или глава 2 увлекательного повествования, в которой читатель узнаёт, как чёрное стало белым буквально. За каких-то 50 000 USD.
На листах 190-196 Том 2 Протокол осмотра предметов (документов) от 29-06-2011 года, на листе 192 и 194 соответственно указано, что ноутбуки Lenovo, изъятые у Артимовича И.А. были упакованы в полиэтиленовые пакеты белого цвета и опечатаны облаткой с оттиском печати "Федеральной службы безопасности Российской Федерации Следственное Управление печать для справок 3". Однако, в постановлении о назначении судебно-технической экспертизы от 02.09.2011 года (Том 3, листы 208-210) на листе указано:
Пункт 4. Предоставить в распоряжение эксперта
- Ноутбуки Lenovo …., упакованные в бумажные пакеты чёрного цвета, опечатанные облаткой с оттиском печати "Федеральная служба безопасности Следственное управление ФСБ России Для справок 3", скреплённые подписями понятых;
Из заключения эксперта (Том 3, листы дела 215-222) на листе 216, пункт 2 указано, что на исследование 26.09.2011 поступил ноутбук…., упакованный в пакет чёрного цвета из полимерного материала, опечатанный облаткой с оттиском печати "Федеральная служба безопасности Следственное управление ФСБ России Для справок 3", и пункт 3, ноутбук….., так же упакованный в пакет чёрного цвета из полимерного материала, опечатанный облаткой с оттиском печати "Федеральная служба безопасности Следственное управление ФСБ России Для справок 3".
Вот так, нарочно не придумаешь, БЕЛЫЕ полиэтиленовые пакеты превратились в ФСБ в ЧЕРНЫЕ полимерные (впрочем возможно бумажные, а может бумажно-полимерные).
Выше - это ремарка на утверждение одного гениального сетевого троля с форума RSDN, что "он ненавидит когда всякая вирьмейкерская шваль делает из черного белое". Полностью с ним солидарны.
Итак. Я специально для объективности не стал рассказывать, что сначала даже Тушинский суд послал эту экспертизу куда подальше. Когда же на защиту экспертизы грудью встал Прокурор и пригласил блаженного Григория Ануфриева, суд в результате отложил решение по экспертизе, а именно оставить ли её в доказательствах или убрать, на приговор.
Я бы так же мог сказать, что в кулуарах интернета ходили слухи о некоем эксперте Гришке-Полтишке, мол делает он любые экспертизы для андеграунда русского интернета: спамеров, детских порнографов. 50 косарей зелёных чтобы упороть любого конкурента!
Но это были только слухи, и подтвердить это прямо мы бы не могли.
Но. Неизвестный контакт прислал анонимно нам скриншот:
Что человек с таким ником (Гришка-Полтишок) действительно существовал. Скриншот этот с закрытого криминального форума (редакции форум известен), где данный человек предлагал услуги по созданию липовых экспертиз.
Но что же всё таки произошло на форумах при публикации первой главы? Нас тут же бросились: цензурировать.
На Хабре пост удалили, но позже пост всё таки восстановили - спасибо добрым людям! На 4ёх форумах топики потёрли. На RSDNe бросились тереть посты - там исчезло половина обсуждения! Про RSDN позже…
Полный список ресурсов, где было выложено обсуждение:
http://habrahabr.ru/post/168501/
http://nnm.ru/blogs/dmitryart/kak-ekspert-iz-laboratorii-kasperskogo-delal-ekspertizu-po-ugolovnomu-delu-o-ddose-sayta-assista-2/
http://www.programmersforum.ru/showthread.php?t=227091
http://www.cyberforum.ru/dump/thread779914.html#post4097502
http://www.ru-coding.com/talk/subj.php?pid=34050#p34050
http://forum.ru-board.com/topic.cgi?forum=33&topic=13594
http://forum.searchengines.ru/showthread.php?p=11402637#post11402637
http://forum.antichat.ru/showthread.php?p=3417733#post3417733
http://forum.vingrad.ru/forum/act-ST/f-193/t-361873/unread-1.html
http://forum.codeby.net/topic50220.html
http://iforum.pro/raznoe-7/eksperty-iz-kasperskogo-1275.html#post7150
http://phpforum.ru/index.php?act=ST&f=22&t=71275
http://www.hardforum.ru/t107706/#post716532
http://www.rsdn.ru/forum/flame/5060866.1
http://forum.ixbt.com/topic.cgi?id=15:70737
http://www.sql.ru/forum/actualthread.aspx?bid=16&tid=1003097&pg=-1
http://sysadmins.ru/post10887666.html#10887666
http://forum.yurclub.ru/index.php?showtopic=346336
http://virusinfo.info/forumdisplay.php?f=62
http://forum.xakep.ru/m_2717893/tm.htm
http://www.anti-malware.ru/forum/index.php?showtopic=25018&mode=threaded&pid=166599
http://d3scene.ru/fleim/47282-oh-tyzh-bleat-leprozoriya-kasperskogo.html
Для примера почитайте то количество только юридических ошибок, именно поэтому ОБЬЕКТИВНОСТИ РАДИ я не стал их вначале выкладывать, что нашли эксперты именно с юридической стороны изначально: заключение специалистов.
Кратко тезисы из заключения:
1. Эксперту не объявлены права и не взята подписка о неразглашении.
2. ЗАО Лаборатория Касперского не является законным судебно-экспертным учреждением.
3. Экспертиза назначена "запросом", вместо "постановления" - грубейшее нарушение.
4. Не указаны сведения о образовании и опыте эксперта.
5. Не разъяснена методика исследования.
6. Не указаны научные работы обосновывающие методику.
7. Выход за предел компетенции, эксперт не может подменять суд и признавать программу вредоносной.
8. Ненадлежащее описание объектов исследования (не сфотографированы объекты к примеру).
9. Неверные несуществующие серийные номера объектов исследования.
10. Не указаны отдельно параметры носителей информации (НЖМД).
11. Не указаны подписи понятых и следователей на упаковке объектов исследования.
12. Разночтения в тексте печатей ФСБ скрепляющих одни и те же объекты исследования.
13. Отсутствие методики копирования информации с НЖМД для исследования.
14. Несанкционированное следствием копирование информации с НЖМД для исследования.
15. Яркое несоответствие описания файла crypted.exe собственно самому сайту Касперского (согласно которому сам по себе файл не опасен).
16. Правильно ответив на вопросы 6 и 7 по поводу не возможно установки авторства эксперт в нарушение закона не указал причины по котором не возможен ответ (опять же к методам исследования яркий факт подлога)
В дополнении к этим 16 пунктам адвокаты защиты так же указали на принципиально невозможное использование экспертизы Касперского, как компании явным образом заинтересованной в результате, поскольку во-первых именно эта компания отражала ДДОС атаку, и эта же компания по материалам дела собственно единственный свидетель в лице другого сотрудника, кто вообще возможно (лишь) лично видел "технически" само преступление. Потерпевшие и другие свидетели по делу лично ничего не видели и давали показания со слов.
А вот технические нарушения, а не формальные, теперь уже мы собрали с вашей помощью в интернете. За что всем огромное спасибо. Причем комментарии продолжают поступать. Некоторые из них достаточно яркие. Как, например, несуществующий IdaPro 6.0 от компании Datarescue которым пользовался эксперт (с версии 5.0 IdaPro был продан компании Hex-Rays).
Из всех юридических формальных нарушений хочу выделить одно отдельно. Именно оно имеет полное значение по существу. А вы, дорогие читатели, люди в большинстве - технические, поэтому запоминайте, возможно, в будущем пригодится:
В заключении эксперта от 17.11.2011г. не указано ни одной научной работы, в которой была бы описана выбранная экспертом методика, что исключает возможность воспроизведения хода исследования, проверки его результатов и достоверности сделанных выводов, как это требуется в соответствии со ст. 204 УПК РФ, ст.ст. 8,16,25 ФЗ ГСЭД;
Нет, дорогой читатель, эксперт отнюдь не идиот, что не указал методики. И не идиот, что не указал ответов почему не возможно установить авторство. И не идиот, что даже на прямой вопрос, как именно ему провести сравнение, отправил читать "Отче Наш", Совсем нет. Наоборот он совершенно верно умолчал этот момент. Уходя в сторону при каждом наводящем вопросе - эксперт осознано пытался скрыть факт фальсификации. Мы то ведь знаем, уже, что таким способом (сравнение бинарного файла в дизассемблере IdaPro, и исходного кода) невозможно доказать что этот бинарный файл получен из этих исходных кодов.
На форумах разгорелся нешуточный флейм. Программисты аргументировано говорили, что метод "священного IdaPro" - полнейшая ересь. Кто-то пытался тупо тролить.
А вот что написал по этому поводу очень известный во всём мире эксперт по реверс инженирингу Крис Касперски на форуме RSDN (на Криса Касперски пафосно ссылался сам блаженный Григорий в своём выступлении, как на некоторого авторитета, что особенно теперь смешно):
Крис Касперски - один из самых известных в России и за рубежом специалистов в области компьютерной секьюрити. Из-под его пера вышли такие книги, как "Техника и философия хакерских атак", "Образ мышления дизассемблера IDA", "Техника сетевых атак" и многие многие другие. В том числе переведенные на 9 языков. Также его статьи, посвященные низкоуровневому системному программированию, можно найти во многих журналах.
От:
мыщъх
http://nezumi-lab.org
Дата:
08.02.13 01:38
вот цитата из текста по ссылке:
...если Вы откроете Ida Pro... Она может восстанавливать и наименования функций, она восстанавливает все библиотеки, системные. Более того, есть дополнительные модули, которые можно писать и самому, которые даже и в исходные коды часть могут вернуть.
вам не кажется, что это бред сивой кобылы? ida-pro -- черный ящик. восстановить имена функций она может только если это библиотечные функции или имена функций по тем или иным причинам присутствуют в бинарнике. однако, сходство имен функций ни о чем не говорит, т.к. нужно доказать, что это уникальные имена и они не принадлежат никакой другой программе, а присутствуют только в анализируемом бинарнике.
про исходные коды это бред в квадрате. компиляция это преобразование А, а декомпиляция это преобразование Б. между А и Б нет ничего общего. декомпиляция не есть процесс обратный компиляции.
От:
мыщъх
http://nezumi-lab.org
Дата:
08.02.13 07:57
а классная у вас цветовая раскраска в иде! но вы поскипали цитату "эксперта", который говорил, что ида _восстанавливает_ имена функций. очевидно, восстанавливает она через FLIRT. там какие-то еще плагины упоминались -- хз что там "эксперт" скачал из тырнета. есть и такие плаги, которые восстанавливают имена криптографических функций с той или иной вероятностью угадать или промазать.
нормальный эксперт оглашает методики анализа. но этот "эксперт" об их существовании даже не подозревает. отберите у его иду, дайте ему грип. тогда экспертный вывод о родственных связях между exe и сорцами строится на совпадении текстовых строк, среди которых, возможно, есть и уникальные.
на приведенном вами фрагменте виден путь к .pdb файлу, который, вай-вай, за уникальный прокатывает только в судах, где приговор выносится еще до начала заседания.
'botnet' это очень слабый аргумент. практически каждый второй хацкер даст такое название директории.
Да ведь не спроста побежали удалять ответы на форуме RSDN. Ведь сам Крис Касперски назвал такую экспертизу “бредом сивой кобылы”.
В то же время уважаемый человек Flint_ta написал на форуме Хакер:
Частично логику работу некоторых функций понять можно. Однако, из того что написал Матросов:
Сложность заключается в точном получении адреса процедуры, которая будет вызвана. Статический анализ не дает информации о том, куда будет указывать регистр ЕАХ. Для того чтобы получить адрес, нужно выяснить, где создается объект указанного типа, а это происходит непосредственно в процессе выполнения, и именно тогда инициализируется указатель на таблицу виртуальных методов
можно сделать вывод что в этом листинге нихера непонятно куда передается управление при вызове функции. Язык и версию компилятора успешно определяет сама ида, в ней реализована технология flirt, которая опознает стандартные функции языков высокого уровня. Данный бот - ядерный руткит и стопроцентно понять что он делает просматривая лишь листинг невозможно.
Теперь, дорогой читатель, вернёмся к блаженному Гришке. Вы думаете, он просто так "описался" в дате подписки о разъяснении ему прав и обязанностей. Конечно, НЕТ. В случае чего, эта "описка" сняла бы с него всю ответственность. А сейчас блаженный Григорий сам загнал себя в угол, заявив на заседании под протокол и аудиозапись - что он действительно описался. Тем самым блаженный Григорий приблизил к себе ответственность по ст. 307 УК РФ.
А вот как это произошло.
В августе 2011 года в сеть утекли логи переписки между спамерами Дмитрием Ступиным (SaintD) и Игорем Гусевым (Desp) а так же их сотнями партнеров часть их которых уже успешно сидит в далеких странах. Большая часть этих партнеров всемирно известные кибер-преступники.
Сам Игорь Гусев окрещён прессой - спамер номер 1 в мире, что собственно не мешало ему начинать карьеру продажей детского порно, лолит, и быть совладельцем-соадмином главного форума детских порнографов darkmasters.info, и он же являлся владельцем крупнейшего спамерского ресурса в мире - spamdot.biz.
Согласно экспертам, в том числе и ненавистному Кребсу, именно закрытие Спамита Гусева привело к падению спама в мире в разы, если не в двое и главное впервые в истории результат сохраняется по сей день.
Возвращаясь к утекшей переписки между Гусевым и Ступиным (эта переписка стала объектом академического исследования аж целых 3ёх университетов в США поскольку коррелировала пост в пост с данными утекшей базы Главмеда/Спамита за 4 года). Напомним один из самых известный в мире экспертов в мире по киберпреступности Брайн Кребс (кстати, мы к Кребсу относимся негативно, тем более он сын со-основателя ПРО США) опубликовал статью: Pharma Wars: Paying for Prosecution, в которой Гусев говорит своему подельнику Ступину что …экспертиза именно по нашему Уголовному Делу стоила 50 тыс американских рублей:
Гусев: по диме (бладшему брату артимовичей, который и есть енгель) вовсю расследование идет :)
Гусев: задача - уголовное дело возбудить. так что он сам себя пусть тренируется в жопу ебать, не так скучно в сизо будет
Гусев: 2к с хзмедии в китай - это мое. Нужно еще будет дослать на зп + двойной бонус мише. Еще я отдал уже 50к дело енгеля (20к - экспертизы, 30к - ускорить возбуждение уд).
Сами лог файлы переписки лог1, лог2.
Та ли эта экспертиза, которую делал господин блаженный Григорий Ануфриев? И он ли Гришка-Полтишок?
Все ли экспертизы у него стоят 50 и поэтому ли у него такое забавное прозвище? Ему ли лично эти 50 перепали, или посредникам, или мошенникам вокруг Гусева - мы конечно не знаем.
Исходя из того кошмара в комментариях рунета, что произвела Гришина экспертиза, разумно предположить что во всяком случае именно за неё господин Гусев платил 50 тыс $.
Теперь то Гришка-Полтишок войдёт мировую историю расследования киберпреступлений и получит свою статью в… википедии.
Возможно конечно и нет, но уже сейчас мы точно можем отметить, что для компании Касперского участия в "заказном на весь мир" УД с проплаченной экспертизой крайне плохо скажется для репутации.
Да мало того, что это скорее всего та экспертиза. Еще одним гвоздем в крышку - мы кладём в дело 1051 смс с угрозами отдать исходный код! Уверены - в суде умеют читать СМС.
Дорогой читатель, самое важное, этой статьей мы даём понять, что экспертиза была намеренным фабрикатом, а не ошибкой или неграмотностью эксперта. Это важно. По той самой причине, что эксперт сознательно избегал любого раскрытия методики экспертизы, прикрываясь умным выражением "reverse engineering" (обратная разработка). В то время как ответы на поставленные вопросы следствия достигаются только путём анализа исходного кода, который не имеет никакого отношения к реверс инженирингу (р.и. исследует готовую программу, а не её программный код). В тоже время эксперт сознательно еще и пытался обойти описания функционала программы скаченной оперативниками, поскольку и такой "руткит" не является уголовно наказуемой программой по законодательству РФ. Но эксперт идет дальше и пытается привязать руткит путём статического анализа функций и их названий в бинарном файле (готовой программы) и исходных кодах, что в данном случае, вообще, невыполнимо: названия - эта та информация, которая теряется при компиляции, а местоположение части функций невозможно определить без запуска программы (исследование ЕСЕТа, комментарий Flint_ta).
Конечно же, мы бы могли показать Вам, дорогой читатель, какие прочие забавные вещи происходили с упаковками ноутбуков и дисков, а так же их серийными номерами по пути следования из Следствия ФСБ в Лабораторию Касперского. Это отдельная ржака. Но, возможно, на данный момент эти документы являются засекреченными, и делать этого в данный момент мы не можем.
Напомню, что Генеральная Прокуратура взяла таймаут на раздумье из-за несостыковок в датах и номерах всех оперативных материалов переданных из Центра Информационной Безопасности ФСБ в Следственное Управление ФСБ: http://www.regnum.ru/news/economy/1617098.html
Дорогой читатель, у нас есть ещё много веселого и классного по экспертизам. Ждите новых публикаций. Кому-то впредь это еще поможет, что-бы вот такие шайтаны не шайтанили!