Аналитика и комментарии. Взгляд из США (judeomasson) wrote,
Аналитика и комментарии. Взгляд из США
judeomasson

Categories:

Как русские хакеры взламывали сервера Демократической партии США

Всем известно что российские хакеры (в дальнейшем просто "хакеры") взломали сервер Демократической партии США. Власти России и российские органы пропаганды отнеслись к этому событию неоднозначно. С одной стороны они отрицают что это российские хакеры, а с другой стороны гордятся тем что в России такие гениальные специалисты, которые смогли взломать американский сервер.

Я проанализировал информацию об этих атаках и пришел к выводу что, во первых хакеры были именно российские, а во вторых что эти хакеры и их начальство редкие дебилы, а взломали сервер потому что в штабе демократической партии некоторые чиновники проявили невнимательность, в результате чего совершили ряд ошибок.

Начнем с того что доклад спецслужб, в котором утверждается что именно Россия стояла за атаками на сервера демократов, состоит из двух частей - открытой и секретной. Открытая часть состоит в основном из технических данных, которые проанализировала компания "SecureWorks", специализирующаяся на вопросах компьютерной безопасности. В результате этого анализа оказалось что хакеры оставили столько следов что их можно сравнить с вором, который оставил на месте преступления удостоверение личности. Тем не менее среди специалистов нет единого мнения о том, можно ли считать эту техническую информацию стопроцентным доказательством. Зато во второй, секретной, части доклада содержатся стопроцентные доказательства.

У вас может возникнуть вопрос - откуда я знаю что там стопроцентные доказательства, если эта часть секретная? Да все очень просто. Доказательством того что в секретной части доклада стопроцентные доказательства (простите за каламбур) служит то что  Трамп вынужден был признать что кибер атака была осуществлена российскими хакерами. Я не просто так написал "вынужден признать". Дело в том что Трампу это крайне не выгодно. Даже несмотря на то что спецслужбы признали что хакерские атаки не повлияли на результаты выборов, получается что иностранное государство пыталось помочь ему стать президентом, а это не только удар по престижу, но и резко ограничивает его возможности. Получается что если иностранное государство помогает ему стать президентом, это не просто так. Президент поэтому должен будет как-то отблагодарить это государство. В результате любой шаг по улучшению отношений с Россией сразу будет расценен как проявление благодарности. Именно поэтому Трамп, до того как стал президентом, до последнего сопротивлялся, отказывался это признать. Однако когда он официально стал президентом, он получил право знакомиться с секретными документами, и после того как ознакомился с секретной частью доклада, резко поменял свое мнение. Я думаю что если бы в докладе было бы хотя бы какая-то зацепка, хоть какой-нибудь самый незначительный повод усомниться в достоверности этих данных, он бы обязательно этим воспользовался. Поэтому я считаю что признание Трампа того что хакеры были российскими, стопроцентным доказательством.

Возможно результаты уже начали появляться. Например недавно Трамп заявил что оставит санкции против России на неопределенное время, а Путин в очередной раз доказал что он гениально умеет добиваться полностью противоположных результатов.

Я естественно не знаю что в этой секретной части доклада, но на основе разных утечек могу предположить что там кроме технической информации, полученной компьютерными специалистами, есть еще и настоящие разведданные. Наверняка в российских спецслужбах есть завербованные агенты, которые передают спецслужбам американским нужную информацию. Кроме этого возможно разговоры высших российских начальников подслушивали и записывали, поставив где надо миниатюрные микрофоны или подключившись к каналам связи. Вот например что пишет журнал Time:

Одним из таких примеров, были перехваченные сообщения и беседы среди высокопоставленных российских чиновников во внутреннем кругу Путина, которые указывали что они были осведомлены о хакерской кампании и праздновали избрание Трампа в качестве победного конца кампании.

Скорее всего секретная часть доклада состоит из информации добытой таким путем. Не удивительно что ее засекретили. Я понимаю что российским спецслужбам очень бы хотелось получить эту секретную часть доклада, так как там информация об агентах среди российских чиновников, возможно расположение каких-то "жучков" с помощью которых слушали разговоры чиновников. Возможно записи этих разговоров продемонстрировали Трампу. Но вернемся к не секретной, технической, части доклада.

Более менее подробно последовательность событий описана например в Нью Йорк Таймс.

Хакеры использовали метод атаки, который называется "phishing". Суть этого метода заключается в том что жертве посылают электронное письмо, якобы от провайдера интернет или другой солидной организации. В письме говорится что жертва например должна поменять пароль своей электронной почты, под каким нибудь предлогом, и дается ссылка. Если жертва поверила, то она (жертва) нажимает на ссылку и запускает специальную программу, которая вытаскивает пароль к почтовому ящику, после чего хакер имеет доступ к его содержимому. Еще в марте прошлого года сотруднику предвыборного штаба Клинтон Уильяму Райнхарту, который пользовался почтой Google Gmail прислали именно такое письмо. Скриншот показан ниже:

электронное письмо, которое пришло Подеста

Там говорится что кто-то из Украины пользуется вашим паролем, поэтому вам срочно надо сменить пароль, и дается ссылка большими белыми буквами на синем фоне, куда надо зайти чтобы поменять пароль. Он в это время был на Гавайях и проверял свою почту в 4 часа утра. С первого взгляда выглядит что письмо из Google Gmail, поэтому видимо не разобравшись спросонья, нажал на ссылку и попался.

Точно такое же письмо пришло председателю предвыборной компании Клинтон Подеста, однако он заподозрил неладное и послал это письмо своему помощнику Чарлзу Делавану. Скриншот ответа Делавана показан ниже:

Электронное письмо Делавана

В этом письме Делаван сделал ошибку. Он собирался написать illegitimate "нелегальное", но по ошибке написал "legitimate", в результате смысл поменялся на противоположный. Письмо гласило "Это электронное письмо легальное. Джон должен немедленно поменять пароль". И уже тут оплошность допустил Падеста. Даже несмотря на ошибку Делавана, Падеста мог бы избежать оплошности. Дело в том что Делаван в своем письме дал ссылку на настоящий, легальный, сайт Google, которую я обвел красной рамкой. Если бы Падеста нажал на эту ссылку, он бы просто поменял пароль, и ничего бы не случилось, но он нажал на ссылку, которую предложили ему хакеры, и тоже попался.

Прав был Ассанж когда говорил что такие атаки может совершать 14 летний школьник. Такая программа настолько простая, что ее действительно может написать любой школьник. Например на этой странице есть подробная инструкция как это сделать, которая была опубликована за пол года до известных атак. И такой информации много, но вместо того чтобы разработать собственную программу, хакеры использовали устаревшую украинскую программу. К этому в результате тщательного исследования пришли специалисты компании "Wordfence", которая тоже занимается вопросами компьютерной безопасности. Они опубликовали на своем сайте статью, в которой приводят доказательства этого, однако фишка заключается в том что цель этой статьи не доказать что атака проводилась российскими спецслужбами, а полностью противоположная  - доказать что российские спецслужбы здесь не при чем. В статье долго и нудно перечисляются различные доказательства. Показаны фрагменты кодов, скриншоты, и т.д. И все ради того чтобы в конце статьи сделать следующий вывод. Цитирую:

Образец вредоносной PHP [язык программирования (прим.мое)] программы, которые они предоставили по-видимому, P.A.S. версия 3.1.0, которая обычно доступна на веб-сайте, который утверждает, что авторы украинские. Кроме того это не самая последняя версия, так как самая последняя версия 4.1.1b. Было бы разумно ожидать, российские разведчики разработают свои собственные инструменты.

Специалисты "Wordfence" исходят из того что в российских спецслужбах работают адекватные люди, но российские разведчики и не на такое способны. Например надо совсем не иметь мозгов чтобы осуществлять атаки на американские объекты в рабочие часы по московскому времени, но это далеко не самый крупный их прокол. Однако прежде чем продолжить, немножко теории.

Существует технология, которая называется "сокращение URL" (URL shortening). Что такое URL надеюсь все знают. Грубо говоря это адрес страницы, однако URL бывают очень длинными. В результате их неудобно читать, запоминать. У многих сайтов и сервисов, особенно в социальных сетях, существуют ограничения. Поэтому существуют алгоритмы укорачивания URL, принци которых основан на том что генерируется уникальный ключ, состоящий из нескольких символов, который соответствует оригинальному URL. Однако технические детали не так важны. Эта методика уже достаточно хорошо описана, про нее даже в википедия есть статья. Есть много программ, но есть и сайты, которые предоставляют такой сервис. Один из таких сайтов "Bitly" Точнее это название сервиса у которого есть как минимум два сайта - "Bitly.com" и "Bit.ly". Правда если вы нажмете на вторую ссылку, вас все равно перенаправят на "Bitly.com".

Однако Bitly не тольо предоставляет этот сервис, он ведет еще свою статистику, в которой отслеживается вся деятельность по данному URL. Более того, эту статистику может посмотреть любой желающий. Вот как эту ситуацию описывают на сайте "Observer". Цитирую:

Все шпионят за всеми в Интернете, не так ли? Новостные организации отслеживают поведение пользователей на своих сайтах, чтобы узнать, какие статьи читают и откуда приходят посетители. Маркетологи и социальные сети отслеживают ваши движения по всей сети Интернет с помощью cookies и удаленного контента, таких как фотографии.

Но отслеживать людей в Интернете не сложно. Любой человек может собирать информацию о посетителях, просто подписавшись на сервис укорачивания URL, такие как Bitly, Owly, или Owly и запустить их URL через специальный инструмент.

Пользователь может поделиться этой укороченной ссылкой в электронном письме, социальной сети, или внешним веб-сайтом, чтобы точно отследить, сколько посетителей они получают от этого источника. Сокращенный URL также предоставляет дополнительную информацию о посетителях, например, их приблизительное местоположение, канал социальных медиа, тип браузера и операционной системы.

И так далее.

Короче говоря, если вы используете Bitly, всю информацию о вас может узнать любой желающий. Однако на самом деле не все так просто. Дело в том что у Bitly есть два режима работы - "public" и "private". Режим public установлен "по умолчанию".  Именно в этом режиме любой желающий может видеть информацию о вас, но вы можете установить режим private. В этом случае информация для посторонних будет закрыта. Сделать это очень просто, как показано на этой странице.

Я не просто так подробно остановился на этом сервисе, так как хакеры вместо того чтобы написать собственную программу, использовали для укорачивания URL Bitly. Ниже приводится скриншот текста электронного письма, которое получил Подеста:

Электронное письмо, которое получил Подеста

А теперь попробуйте угадать - какой режим использовали хакеры в Bitly, public и private? Как и положено дебилам, они конечно использовали режим по умолчанию, то есть public. В результате вся информация и статистика были доступны для всех желающих, чем воспользовались специалисты "SecureWorks", которые используя URL из письма, которое получил Подеста, зашли на сайт Bitly, и без проблем получили всю необходимую информацию. Но это еще не все.

Документы воруют для чего-то. Это может могут делать в целях шпионажа, чтобы выкрасть какие-то секреты. Это могут быть борцы за идею, которые таким образом пытаются бороться с какими-то злоупотреблениями. Именно под такого борца косит Ассанж. Однако если борцы за идею публикуют какие-то документы, они их не редактируют и ничего там не меняют. Если украденный документ перед тем как опубликовать отредактировали, что-то там изменили, значит цель этих публикаций какая угодно, только не борьба за правду. А хакеры перед тем как опубликовать документы, что-то там изменили. Поэтому когда Путин говорил что неважно кто стырил эти документы, а важно их содержание, он прекрасно знал что содержание этих документов не то, которое было в оригинале.

Проблема заключается в том что дебилы хакеры видимо не понимали что изменения в документе легко распознать. В любом документе есть скрытая часть, которая в самом документе не видна, но содержит важную информацию. Это часть называется "metadata". Нас в данном случае интересуют два поля из metadata - "author" и "last modified by". С первым параметром все ясно. Это имя автора, но это не обязательно имя человека. Это может быть имя пользователя в компьютере, которое может быть реальным именем, но для пользователя можно использовать любые слова, которые придут в голову.

Второй параметр это имя того кто последний вносил изменение в документ. Так же как и для автора это может быть имя пользователя. Более того, Microsoft Word по умолчанию вставляет имя пользователя. Metadata можно посмотреть или удалить с помощью настроек Microsoft Word.

На этой странице есть ссылка, если пойти по которой, то можно скачать образец документа, которые опубликовали хакеры, а также скриншот настроек где показана. Я это сделал, зашел в настройки документа, и увидел следующую картину:

скринот metadata

Warren Flood это реальное имя активиста Демократической партии, реальное имя которого совпадает с именем пользователя, а вот сотрудник какой организации мог выбрать имя пользователя, который редактировал документ, догадайтесь сами. Добавлю только что он использовал русскую клавиатуру.

В заключение хочу сказать что и здесь Путин добился противоположного результата. Как только стало известно что хакеры не только украли документы, но и редактировали их, демократы сразу стали кричать что это фейк, что этим документам нельзя верить, а тот факт что атаку осуществили российские спецслужбы, только добавил Клинтон очков, но ей это не помогло. Она все равно проиграла, но американские спецслужбы абсолютно правы, когда утверждают что на результаты выборов все это не повлияло.

Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 152 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →