Разведка и контрразведка для начинающих

Sean Townsend <[email protected]>

Захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки е найважливішими функціями держави, справою всього Українського народу.

Конституція України. Стаття 17


Работа с почтовыми "дампами" в программе Thunderbird

Волонтеры Украинского Киберальянса (UCA), разведывательного сообщества InformNapalm и центра «Миротворец» публикуют исследования основанные на взломанной переписке сепаратистов и российских властей. Это статья о том, как вы можете помочь волонтерам в борьбе с российско-террористической угрозой.

Наши организации не являются СМИ в привычном смысле этого слова. Газеты и журналы занимаются информированием, а наша задача заключается в том, чтобы добыть необходимую информацию (которую, зачастую нельзя получить никаким другим способом), провести анализ и опубликовать. Мы ведем информационную и кибервойну с агрессором. В отличии от российских пропагандистов мы не призываем вас верить нам на слово, мы всегда выкладываем "дампы почтовой переписки" (если речь идет о почте), которые послужили основой для очередного исследования.

И так "дамп почты" - это сохраненные копии писем из взломанного почтового ящика. Вопрос о том этично ли читать чужую почту я оставляю на ваше усмотрение. Война - это этично? Стрелять из РСЗО прикрываясь мирными жителями - это этично? Законно ли это? Да, если вы скачаете и откроете у себя "дамп" - это полностью законно. Это мы взломали почтовый ящик, это мы опубликовали его содержимое, а вы имеете полное право с ним ознакомиться. Материалы, которые мы выкладываем касаются всех и каждого. У вас есть право знать.

"- InformNapalm и Миротворец уже все прочитали, проанализировали и опубликовали, что мне там делать?" Это не совсем так. Мы не можем коротко в 10-20 тысяч знаков изложить содержимое ящика объемом 10 гигабайт. Чтобы вы поняли насколько велики объемы - приведу простой пример. Один том из полного сочинения Льва Толстого занимает около 10 мегабайт, в собрании сочинений 90 томов, а в среднем почтовом ящике уместилось бы 1000 томов, или около 11 комплектов полного собрания сочинений. А речь идет не об одном ящике, а о тысячах. И Миротворец, и InformNapalm продолжают анализировать архивы, захваченные UCA еще в начале года.

Мы призываем журналистов и неравнодушных граждан помочь нам с анализом почты. Присоединившись к этой работе, вы узнаете много нового и интересного о русско-украинской войне, познакомитесь с образом мысли врага, поможете правоохранителям пресечь подрывную деятельность сепаратистов и коллаборантов, поможете сорвать преступные планы агрессора. Для этого вам понадобятся Mozilla Thunderbird и дополнение к нему Import Export Tools. Безопасны ли они? Да, полностью безопасны, обе программы размещены на официальном сайте Mozilla и не содержат вирусов. Скачиваем (все картинки кликабельны)

Устанавливаем дополнение Import Export Tools: открываем пункт "Дополнения" из меню:

Жмем на "шестеренку" и выбираем пункт "Установить дополнение из файла". Выбираем XPI файл (в моем случае это importexporttools-3.2.4.1-sm+tb.xpi), жмем "установить сейчас", после этого Thunderbird предложит перезапустить программу.

Для того, чтобы работать с почтой нужна учетная запись. Можете добавить свою, а можете нажать на кнопку "Создать" в панели инструментов. Запустится "Мастер учетных записей", выберите "Блоги и ленты новостей". Нам нужны не они, а "Локальные папки". В "локальных папках" нужно добавить новую папку для нашего "дампа":

Назовем её, как-нибудь, лучше чтобы название совпадало с адресом электронной почты. Если вас заинтересует исследовательская работа, то таких папок у вас будем много. Для примера я скачал дамп [email protected] с сайта ordilo.org, и так и назвал папку:

Скачанный архив нужно распаковать (внутри нет исполняемых файлов, это почта в формате MBOX), и импортировать в почтовую программу (клик правой кнопкой по нужной папке, ImportExportTools -> Импорт файла mbox; в открывшемся окне последний пункт: Выбрать каталог в котором (и его подкатологах) будут искаться mbox файлы для импорта):

Все готово

Как вы видите, на скриншоте речь идет о российском наёмнике Фролове Иване Александровиче, которого прихватили в Новосибирске с травой. Если вы найдете наемника или террориста, постарайтесь найти его профили в социальных сетях, место и дату рождения, и не забудьте проверить поиском в "Чистилище", прежде чем писать на [email protected] . Может быть он там уже есть. Именно так и пополняется база Миротворца.

А к примеру в ящике Кирилла Фролова, вы сможете найти и планы сепаратистов, и ведомости на финансирование "русской весны", и таких высокопоставленных участников, как советники президента РФ Владислав Сурков и Сергей Глазьев, а также патриарх московский Гундяев (Кирилл). InformNapalm опубликовал на эту тему семь статей, и Миротворец еще четыре, но огромное количество материалов все еще лежит и ждет своего исследователя.

Основы компьютерной криминалистики: проверяем подлинность почтовой переписки

Контрразведчик должен знать всегда, как никто другой, что верить в наше время нельзя никому. Порой даже самому себе. Мне можно

Семнадцать мгновений весны



В предыдущей части мы научились работать с Thunderbird, с интересом листаем письма сепаратистов и уже раскрыли тридцать три заговора, попали в новости с сенсационным разоблачением и отправили сто двадцать человек на Миротворец. Предположим, мы нашли очень интересное письмо, и тут подкрадывается мысль: "помилуйте, не может этого быть! наверное это фейк :-(" В этой главе я расскажу о том, как проверять подлинность почтовой переписки.

И так у нас есть письмо:

Для начала постараемся выяснить действительно ли адрес указанный в заголовке принадлежит адресату ("Департамент информационной политики ДНР"). Скопируем адрес "[email protected]", и именно так (с кавычками) вобьем в поисковик, вот и наше первое подтверждение:

Стандарты журналистики требуют, чтобы информация подтверждалась, как минимум двумя источниками. В данном случае найти второй источник не составит большого труда.

Если вы проверяете подлинность дампа в целом, то стоит проверить действительно ли событие, о котором идет речь в почте произошло в реальности. Пресс-конференция Захарченко на самом деле была запланирована на 29 апреля 2016 года:

Администрация Захарченко анонсировала в пятницу пресс-конференцию по факту покушения на Главу ДНР
Апрель 28, 2016 22:54 // Обновлено: Апрель 28, 2016 22:57

Донецкое агентство Новостей

NB! archive.is - очень удобный сервис для фиксации содержимого веб-страниц и изготовления скриншотов)

Идеальная ситуация - это когда жертва взлома не отрицает факт взлома почты. В случае с Сурковым ряд лиц упомянутых в переписке подтвердили её подлинность (например Чичваркин), а ИА Reuters нашли в дампе свое собственное письмо с просьбой об интервью. В другом случае, начальник IT-отдела министерства информации "ДНР" нагло заявил, что он чуть ли не нарочно слил 300 гигабайт министерской почты (на самом деле проморгал пять взломов в течении полугода, как минимум тремя разными группами хакеров), чем невольно подтвердил подлинность переписки. А что делать, если "нет"? Как Bellingcat, Atlantic Council и эксперты криминалисты подтверждают аутентичность?

(Можете пропустить технические детали и перейти к выводам)

Вернемся к компьютерно-технической экспертизе выбранного письма. Все мы привыкли к тому, что у письма есть заголовки - "От кого", "Кому", "Дата", "Тема", а системные администраторы прекрасно знают о том, что в поле "From" можно написать все, что угодно. Давайте посмотрим на исходный текст письма вместе со всеми заголовками:

Начнем с IP-адреса отправителя (X-Originating-IP) - 185.28.108.198, что мы можем узнать по этому адресу? Для начала, на кого он зарегистрирован. Вобьем адрес в какой-нибудь онлайн-whois сервис, например http://ping.eu/ns-whois/ (whois - это глобальная, распределенная, открытая база данных, в которой указаны владельцы блоков IP-адресов, обычно это провайдеры):

...
organisation	ORG-TSL26-RIPE
org-name	Meshnet ltd.
org-type	LIR
address		28, Freedom ave.
address		04215
address		Kyiv
address		UKRAINE
phone		+380503266737
...

Киев? Неужели фейк? Дадим трассу (Пуск -> Выполнить -> cmd -> tracert 185.28.108.198):

 5  soniko-ix.giganet.ua (185.1.62.61)  7.919 ms  10.441 ms  13.497 ms
 6  don-p60.mixmedia-ua.net (185.28.108.254)  29.892 ms  26.501 ms  33.949 ms
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * 185.28.108.198 (185.28.108.198)  37.237 ms

Оказывается администрация "Главы" "ДНР" подключена к киевскому провайдеру, а "don-p60" это скорее всего узел находящийся в точке обмена трафиком на ул. Постышева, 60, г. Донецк. Иногда IP-адреса успевают поменяться, но в этом случае нам повезло и мы выяснили, что письмо было действительно написано где-то в оккупированном Донецке. Иногда есть возможность поднять и архивные записи.

Каждый почтовый сервер, через который проходит письмо по дороге к адресату, добавляет в тело письма заголовки Received (какой почтовый сервер и от какого сервера получил письмо):

Received: from f351.i.mail.ru (f351.i.mail.ru [217.69.140.247])
	by dnr-online.ru (Postfix) with ESMTP id DF8D615ECCB
	for <[email protected]>; Fri, 29 Apr 2016 09:55:42 +0300 (MSK)
Received: from [185.28.108.198] (ident=mail)
	by f351.i.mail.ru with local (envelope-from <[email protected]>)
	id 1aw2Kk-0003vA-K7; Fri, 29 Apr 2016 09:55:27 +0300

Проверим совпадают ли имена серверов и IP-адреса (nslookup f351.i.mail.ru):

Name: 	 f351.i.mail.ru
Address: 217.69.140.247

Совпадают ли первый Received с X-Originating-IP? Да, совпадает. Нет ли аномалий в датах? Письмо получено dnr-online.ru в 09:55:42, а на mail.ru оно попало в 09:55:27. Совпадает ли "envelope-from" с "From" - да, совпадает.

И теперь самый интересный заголовок DKIM:

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail2;
	h=Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:From; bh=01YQOWLPQnuDZVq2f09J2Nu0hUBJfba8yYBukf6TUEY=;
	b=QfVd6eusSjJC69dfPWgxGTRMZ+JpW2EC3JuMVMmltWGjI89uGowy1ZM7RyrrxHUOoQPeaHL5oSDPU9p7xx2HOKgQcG9skOgSrWTuF2VgXFBPL7bFL
	PDCGWcobAvs6SYxWcw/Yc9WNsl++RU86XeKmvenDwkaiZjoi71xOzIlcJ4=;

DKIM - это электронная цифровая подпись (ЭЦП), которая удостоверяет целостность документа (если хотя бы одна буква в письме изменится, то подпись станет недействительной и невозможность отказа от авторства (почтовый сервис действует так же, как и нотариус, в начале удостоверяет личность отправителя, а затем накладывает на письмо цифровую подпись). Можно ли подделать ЭЦП? Нет. И сейчас объясню почему.

Часто, чтобы скрыть сообщение от посторонних глаз - его шифруют (самый простой метод - это заархивировать файл с пароем и послать пароль не в почте, а по телефону). В такой схеме шифрования один и тот же пароль используется и отправителем и получателем, поэтому они называются симметричными. Для цифровой подписи используются хеш-функции и асимметричные алгоритмы (в которых для шифрования используется один ключ, а для расшифровки другой).

"Хеш-функция" - это слишком мудрено. Объясню на простом примере. Я хочу послать сообщение "Hello!". Каждой букве соответсвует число:

H   e   l   l   o   !
72  101 108 108 111 33	(символы в кодировке ASCII)

Я складываю все числа и получаю результат: 533 - это и есть хеш. Я говорю получателю: "Я пришлю тебе сообщение, и для того, чтобы убедиться, что оно действительно от меня - сложи все буквы и у тебя должно получится 533". Для цифровой подписи используются более сложные функции, но принцип тот же. Однако, чтобы такая схема работала, хеш нужно передавать отдельно от письма (например, по телефону), это очень неудобно. На помощь приходит криптография с открытым ключом.

У почтового сервера есть "закрытый" ключ, который охраняют, как зеницу ока. Когда приходит письмо, сервер считает хеш от заголовков (все поля To: From: Date: и другие) и хеш от тела письма (вместе со всеми вложениями и картинками), после чего шифрует оба хеша своим секретным ключом. Расшифровать хеши может любой желающий при помощи открытых ключей. Обратите внимания на поля "d" и "s" - это домен "нотариуса" и "селектор" (идентификатор ключа). Получим открытый ключ для mail.ru / mail2:

$ host -t TXT mail2._domainkey.mail.ru
mail2._domainkey.mail.ru descriptive text "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GN"
	"ADCBiQKBgQC8msGcERt9i1AqEs6Dl5n0btBDj4W3IjzNg1xA"
	"ExTn1Wb7wjRk9ed8oJ6Xnxn2jSYwbt3G65lW8LK/8vVdx2ar"
	"FexHgKmOXT5RKIeiYFkHmLEtycrRkyJHr6n7rsjwlFSayXnx"
	"rM0xbum3oHXgNJUI1XQXJNoQPmAXoMCbi2yB7QIDAQAB"

У нас есть ключи. И зашифрованные хеши заголовков и тела письма. Для того, чтобы проверить подлинность нужно заново посчитать хеши (используется алгоритм SHA256), расшифровать хеши из тела письма поля b и bh в DKIM-Signature и сравнить. Это и есть цифровая подпись. Для того, чтобы её подделать нужно или украсть секретные ключи (не только у mail.ru, но и у google и других крупных компаний), или решить очень сложную математическую задачу, на решение которой не хватит всех компьютеров в мире. Хорошее техническое описание DKIM вы можете прочитать у Sp0raw, который таким способом топит Навального, что лишний раз подчеркивает, что крым не бутерброд математика одинакова для всех.

Чтобы проверить цифровую подпись не обязательно вникать в тонкости криптографии, для этого есть онлайн-сервис dho's Online DKIM Verifier, нажимаем Ctrl-U на интересующем нас письме, убеждаемся, что есть заголовок DKIM-Signature выделяем текст (Ctrl-A), вставляем в проверялку, и получаем результат (pass - проверка пройдена). Попробуйте изменить хоть одну букву и цифровая подпись "слетит":

Таким образом, как технический эксперт я готов свидетельствовать в суде о том, что почта российского куратора с позывным "Север" является подлинной, и он был вовлечен в процесс принятия решений в "министерстве информации" "донецкой народной республики".

Если цифровой подписи нет, или она повреждена (у mail.ru есть особенности, о которых не знает онлайн-чекер, но которые легко объяснимы с технической точки зрения), то анализ заголовков, перекрестный анализ дампов, показания свидетелей и информация из открытых источников позволяют с высокой степенью уверенности говорить о подлинности перехваченной переписки.

© 2017 RUH8