Аналитика и комментарии. Взгляд из США (judeomasson) wrote,
Аналитика и комментарии. Взгляд из США
judeomasson

Category:

Кто удалил файлы с сервера в Аризоне

Я недавно писал о том что к так называемому "аудиту" в округе Марикопа штата Аризона кроме всего прочего у меня есть ещё и профессиональный интерес. Дело в том что аудит возглавляет фирма Cyber ​​Ninjas, которые утверждают что они специалисты по компьютерной безопасности. Я тоже много лет работаю в сфере компьютерных технологий, и тоже занимался вопросами связанными с компьютерной безопасностью. Поэтому мне интересно посмотреть что они там найдут.

До сих пор они занимались всякой ерундой, к компьютерам не имеющим никакого отношения, типа поиска бамбука в бумаге, но на днях они обнаружили что власти округа удалили всю базу данных выборов перед тем как передать им сервер. Цитирую их твит:

Округ Марикопа удалил директорию, с базами данных выборов избирательного цикла 2020 года, за несколько дней до того, как оборудование было доставлено для аудита. Это уничтожение улик!

В качестве доказательства они продемонстрировали скриншот. Эту новость тут же перепостил Трамп в своём новом блоге. Цитирую:

Вся база данных округа Марикопа в Аризоне УДАЛЕНА! Это незаконно, и сенат штата Аризона, возглавляющий аудит, возмущён. Кроме этого, были сломаны печати на ящиках, в которых хранятся бюллетени, отсутствуют бюллетени и многое другое. Марк Брнович, генеральный прокурор Аризоны, теперь будет вынужден расследовать это невероятное преступление, связанное с выборами. Многие радикальные левые демократы и слабые республиканцы очень обеспокоены тем фактом, что это разоблачено. УДАЛЕНИЕ всей базы данных и важных файлов о выборах округа Марикопа - беспрецедентное явление. Многие другие штаты будут подражать. Основные СМИ и радикальные левые демократы хотят держаться как можно дальше от фальсификации президентских выборов, которая должна стать одной из самых громких историй нашего времени. Fox News боится освещать это - редко упоминается. Точно так же Newsmax практически ничего не говорит по этому поводу, потому что они запуганы угрозами судебного иска. One America News (OAN), одна из самых быстрорастущих телевизионных сетей и самая «горячая», проделывает великолепную работу по разоблачению имевшего место массового мошенничества. История только разрастается, и в какой-то момент слабые и / или коррумпированные СМИ не смогут не освещать ее. Спасибо OAN и другим храбрым американским патриотам. Всё происходит быстро!

Трамп уже пишет не только про удалённую базу данных, но и про сломанные печати, отсутствующие бюллетени, и так далее. Дело в том что президент Сената Аризоны послала в округ Марикопа письмо с целым списком претензий, в том числе про удалённую базу данных, сломанные замки, и так далее. Власти Марикопы незамедлительно послали ответное письмо (в дальнейшем для простоты я буду называть его просто "письмо"), в котором они подробно, аргументировано ответили на все вопросы, с указанием статей закона и других нормативных актов, в качестве доказательства того что они действовали строго по закону.

С другой стороны это письмо служит доказательством того что так называемые "аудиторы" не знают ни законов, связанных с выборами, ни утверждённых процедур, но самое главное это то что они не разбираются в компьютерах, так как в письме содержится технический анализ бреда про удалённые базы данных.

После этого в СМИ появились сообщения что "аудиторы" признали что база данных не было удалена, однако позже они опровергли эти сообщения, заявив что база данных была удалена, но они её восстановили. Но давайте посмотрим на этот вопрос с технической точки зрения. Сначала цитата из письма:

12 апреля 2021 года Управление по выборам отключило сервер, чтобы он был упакован и подготовлен к отправке в Сенат. При выключении сервера и упаковке оборудования никакие данные не удалялись. Серверы Windows часто изменяют «метаданные» (дополнительные данные о файлах, такие как дата создания, дата доступа, дата изменения, владелец и т. д.) в файлах базы данных Microsoft SQL на основе действий, выполняемых в службах Microsoft SQL (MSQL), которые необходимы для запуска баз данных. Даты изменения файлов идентичны на снимках экрана, потому что это время, когда сервер был выключен, а сами сервисы (MSQL) были отключены, в результате чего сервер обновил метаданные всех файлов до определенного времени, когда службы были закрыты. 12 апреля 2021 года ничего не «удалили».

Здесь нужны некоторые пояснения.

У каждого файла есть параметр, который называется "Last Modified" или просто "Modified". Обычно это дата и время когда в файл вносились изменения, однако в файлах MSQL этот параметр ведёт себя иначе. Для файлов MSQL Modified меняется в двух случаях - либо когда размер файла меняется, либо когда MSQL выключается. В последнем случае этот параметр фиксирует время когда сервер выключился. Естественно что когда выключают сервер, выключаются все программы, включая MSQL.

Для большинства прикладных программ это не имеет значения, так как программисты используют запросы SQL, а напрямую к файлам не обращаются. Но бывают ситуации, когда нужно обратиться непосредственно к файлам, и вот тогда они сталкиваются с такой проблемой.

Этот вопрос на технических форумах Microsoft возникал в течение десятилетий. Чтобы не быть голословным приведу несколько примеров - 2008 год, 2009 год, 2018 год, 2019 год. И так далее.

В качестве ответа на каждый такой вопрос сертифицированные специалисты Microsoft объясняли как работает этот параметр для файлов MSQL также как объяснил я, только подробнее, а ещё один сертифицированный специалист ещё в 2015 году написал в своём техническом блоге пост, в котором подробно объясняет как это всё работает.

Почему я всё это пишу? Да потому что настоящий специалист, который берётся проводить аудит систем с MSQL должен эти вещи знать, но судя по всему "аудиторы" не только не знают как работает Modified для MSQL, но не понимают как это работает вообще. В результате скриншот, который они пытались использовать в качестве доказательства того что файлы были удалены, доказывает полностью противоположное - до того как сервер выключили, файлы ещё там были. Именно об этом говорится в письме. Цитирую:

Мы требуем, чтобы вы немедленно отозвали свой ложный и злонамеренный твит, в котором утверждается, что графство Марикопа «уничтожили улики» в дни, предшествующие предоставлению сервера Сенату. Ваш твит, основанный на "Modified", показанной на скриншоте, в качестве доказательства правонарушения, является явно ложным; единственное, что он демонстрирует, - это некомпетентность ваших аудиторов. Их поразительное отсутствие элементарного понимания того, как работает программное обеспечение, является вопиющим и усугубляется ложным твитом, порочащим трудолюбивых сотрудников округа Марикопа.

Так может быть чиновники Марикопы врут что выключили сервер именно в это время? На самом деле легко можно проверить не только когда последний раз сервер выключался, но и кто выключал, так как вся информация при выключении сервера записывается в лог файл, а при следующем включении всё это можно прочитать. Например как описано здесь. Но это ещё не всё.

Судя по скриношоту "аудиторы" использовали программу "R-Studio Network Technician". Эта программа предназначена для восстановления удалённых файлов. Видимо в серверах использовались жёсткие диски, а не новейшие SSD, так как восстановить файлы удалённые с SSD практически невозможно.

Когда на жёстком диске удаляют файл, информация физически не удаляется. Просто это место на диске помечается как свободное. Операционная система в любой момент может записать туда другую информацию, но пока этого не произошло, файл можно восстановить, если вы не применили специальные методы чтобы эти данные уничтожить. Такие методы существуют, существуют специальные программы. Поэтому если бы меня попросили удалить файлы чтобы уничтожить улики, я бы их удалил так что никакие аудиторы, даже с помощью таких программ как "R-Studio Network Technician" не смогли бы их восстановить. Но согласно скриншоту файлы действительно удалили, но не физически, так как R-Studio их нашла и пометила красными крестиками, а на странице R-Studio, в которой объясняется процесс восстановления файлов в виде ответов на вопросы, в ответе на вопрос 10 говорится что крестиком помечаются удалённые файлы.

С другой стороны у крестиков могут быть другие причины, о которых говорится в письме. Цитирую:

Тем не менее, эти файлы и база данных имеют зловещий красный крестик. Мы не можем с уверенностью сказать, на что указывает этот знак - кроме того, что он, вероятно, указывает на то, что R-Studiow не может найти файлы. На снимке экрана не указано, какой тип поиска выполняли ваши «аудиторы», и вы, к сожалению, не смогли предоставить полный отчет, созданный поиском. Однако таблица в нижней части снимка экрана указывает на то, что некоторые данные отсутствуют, поскольку они «выходят за пределы диска» искомого жесткого диска. Возможно, эти файлы имеют красный крестик, потому что ваши «аудиторы» скопировали их на сегмент жесткого диска, который, говоря простым языком, не может быть прочитан R-Studio software. Или потому, что ваши «аудиторы» неправильно установили параметры R-Studio search, так что он искал эти файлы в той области жесткого диска, где они не находятся. Могут быть и другие объяснения, включая возможность того, что ваши «аудиторы» непреднамеренно или намеренно переместили - или даже удалили - определенные данные.

По моему наиболее правдоподобная версия это та, которую я выделил жирным шрифтом, а именно - "аудиторы" сами удалили эти файлы чтобы потом обвинить власти Марикопы в уничтожении улик. Однако в силу своей вопиющей некомпетентности "аудиторы" не понимают что такое Modified, поэтому так прокололись со скриншотом. В результате получается что сначала выключили сервер чтобы передать его "аудиторам", а потом удалили файлы, когда сервер был уже в руках аудиторов. Вероятность этого очень высока, так как "аудиторы" бесконтрольно распоряжались этим сервером. На этом основании секретарь штата решила десертифицировать этот сервер чтобы его не возможно было использовать на следующих выборах. Цитирую её заявление:

У нас есть серьезные опасения по поводу оборудования. Округ потерял контроль над оборудованием, так как это было в комнате для этого так называемого "аудита", в которой не было камер, они не пустили туда нашего эксперта по оборудованию, и мы понятия не имеем, что они сделали с оборудованием.

Учитывая что "аудиторы" это фанаты Трампа, которые на протяжении последнего времени продвигали теории про украденные выборы, говорить об объективности "аудита" просто смешно. Поэтому вероятность того что они сфабрикуют результаты "аудита" в пользу Трампа, близка к 100%.

С другой стороны правление округа Марикопа состоит из 5 человек, 4 из которых республиканцы. Поэтому вероятность того что они фальсифицировали выборы за Байдена, близка к нулю.

Tags: audit
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 95 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →