Аналитика и комментарии. Взгляд из США (judeomasson) wrote,
Аналитика и комментарии. Взгляд из США
judeomasson

Categories:

Учите матчасть

Уже все наверное знают новость что Манафорт снова вляпался. Недавно были получены доказательства того что Манафорт сливал информацию связанную с предвыборной компанией россиянам.

Но я здесь не буду писать об юридических или политических аспектах дела Манафорта. Эта статья посвящена технологиям. Точнее тому как безграмотность в компьютерных технологиях приводит к серьёзным проблемам.

В частности Манафорта вывели на чистую воду из-за компьютерной безграмотности его самого и его адвокатов. Подробно о том какие проколы Манафорта и его адвокатов позволили Мюллеру получить очень ценную информацию написано в статье на сайте журнала "Wired". Цитирую:

У Пола Манафорта ужасный послужной список, когда дело доходит до цифровой безопасности. Последнее напоминание пришло на этой неделе, когда его защитники не смогли в достаточной степени отредактировать части судебного иска, представленного во вторник, в ответ на утверждения Роберта Мюллера о том, что Манафорт нарушил свое соглашение о признании вины со специальным адвокатом, обманув прокуроров. Отредактированные части заявки «скрыты» черными полосами, но их легко восстановить, просто выделив эти полосы, скопировав и вставив текст в новый документ. (Ошибка вызывает особую тревогу, учитывая, что редактировать документы относительно легко, хотя юристы в крупных корпоративных и даже государственных делах допустили подобные ошибки в последние годы.)

В этом неудачном редактировании адвокаты Манафорта показали что, как утверждает Мюллер, бывший председатель избирательной кампании Трампа поделился данными опросов, «связанных с президентской кампанией 2016 года», с Константином Килимником, который, как утверждают в ФБР, связан с российской разведкой. «Скрытые» параграфы также указывают на то что правительство полагает что Манафорт лгал специальному прокурору и следователям о том, что они обсуждали мирный план на Украине с Килимником и встречались с ним в Испании.

На этом этапе сложная судебная тяжба Манафорта с офисом Мюллера тянется уже больше года. Но эта последнее открытие является свидетельством проблемы, которая преследует бывшего лоббиста еще дольше: он, кажется, очень плохо использует технологии, по крайней мере, согласно свидетельствам, которые были обнародованы в суде и в слитых документах.

Он повторно использовал свой пароль

В октябре 2017 года мы узнали, что практика паролей, которую использовал Манафорт, по-видимому, не соответствует требованиям. В этом месяце специальный прокурор Роберт Мюллер впервые обвинил Манафорта в совершении ряда финансовых преступлений. После того, как он сдался ФБР, исследователи безопасности обнаружили, что Манафорт якобы использовал варианты фразы «Bond007» для своих прежних аккаунтов в Adobe и Dropbox. Исследователи связали его с аккаунтами, используя взломанные текстовые сообщения, принадлежащие дочери Манафорта, Андреа, которые были опубликованы в темной паутине в начале этого года. (В то время Манафорт подтвердил, что его дочь столкнулась с взломом, и что по крайней мере некоторые из сообщений были подлинными.) В переписке содержался, как считается, прежний адрес электронной почты Манафорта. При поиске его в кеше данных о прошлых взломах - Adobe был взломан в 2013 году и Dropbox в 2012 году - исследователи обнаружили, что Манафорт якобы использовал пароль на тему Джеймса Бонда для обеих аккфунтов. Эксперты по безопасности настоятельно рекомендуют использовать сложный, уникальный пароль для каждого аккаунта.

Он забыл, что изменения не лгут

В судебном иске от декабря 2017 года Мюллер обвинил Манафорта в том, что он написал обзор для украинского чиновника Олега Волошина, опубликованного в этом месяце в «Киев пост». Статья освещала лоббистскую работу Манафорта в стране в лестном свете. Согласно заявлению, ФБР узнало об участии Манафорта после получения электронного письма, которое он отправил своему коллеге Килимнику. К электронному письму был приложен черновой вариант документа Microsoft Word, в который вошли изменения или исправления, внесенные «Полом Манафортом». В файле содержались данные, свидетельствующие о том, что он потратил более 30 минут на изменение части статьи в ночь на 29 ноября.

Узнав об этом, ФБР обратилось к судье по делу Манафорта с просьбой пересмотреть соглашение о залоге, которое было достигнуто с адвокатами Манафорта. Команда Мюллера утверждала, что статья была частью кампании по связям с общественностью, которую Манафорт пытался организовать, что нарушило приказ судьи воздержаться от обсуждения его дела в прессе. Адвокаты Манафорта сказали, что он просто использовал свое право на свободу слова, а Волошин отрицал, что кто-то помог ему написать статью.

У него были проблемы с конвертацией документов

В феврале 2018 года федеральные прокуроры обнародовали новое обвинение против Манафорта, обвинив его и его помощника Ричарда Гейтса в совершении налоговых и банковских мошенничеств. Команда Мюллера обнаружила схему частично потому, что Манафорту понадобилась помощь Гейтса для преобразования PDF в формат Microsoft Word.

Согласно обвинительному заключению, в октябре 2016 года Манафорт создал фальшивый финансовый отчет для своей компании с целью получения кредита. Сначала он отправил по электронной почте Гейтсу реальный документ с убытками в 600 000 долларов и попросил Гейтса преобразовать PDF в Word, чтобы он мог его отредактировать. Затем он добавил доход в размере более 3,5 миллионов долларов и отправил файл по электронной почте Гейтсу с просьбой снова преобразовать его в PDF. Электронные письма позволили команде Мюллера раскрыть, как и когда был составлен финансовый отчет.

Он хранил инкриминирующие сообщения в  iCloud

Манафорт, очевидно, не знал, что шифрование бесполезно, если вы копируете свои файлы в iCloud. В судебном процессе в июне Мюллер обвинил Манафорта в попытке повлиять на свидетелей по его делу, связавшись с ними по телефону, через посредника и используя приложения чата, включая Telegram и WhatsApp. Последнее приложение для обмена сообщениями, принадлежащее Facebook, полностью зашифровано, но имеет настройку, которая позволяет автоматически создавать резервные копии сообщений в учетных записях пользователей iCloud на iPhone. Хотя сообщения, отправленные Манафортом, были зашифрованы, резервные копии, которые он, очевидно, хранил, зашифрованы не были. ФБР просто нужно было предоставить Apple ордер на обыск, чтобы получить к ним доступ. Если бы Манафорт отключил резервное копирование iCloud в WhatsApp, он, возможно, не столкнулся с этой проблемой. Он также мог бы использовать Signal, еще одно зашифрованное приложение для обмена сообщениями, которое не создает резервную копию истории сообщений в iCloud. Но Signal не решил бы всех его проблем: два свидетеля сами передали сообщения правительству США.

Он пытался использовать старый трюк электронной почты, но это не удалось

В том же месяце на судебном заседании федеральный прокурор из офиса Мюллера обвинил Манафорта в использовании метода под названием "foldering" для контакта со свидетелями, чтобы их не поймали. По сути, он создал аккфунт электронной почты, но никогда ничего не отправлял. Вместо этого он писал "черновики" и поделился паролем аккаунта с предполагаемыми получателями. Они могут войти, прочитать сообщения и удалить их. Проблема в том, что этой техникой пользовалась террористическая группировка «Аль-Каида», поэтому она уже знакома федеральным прокурорам. Бывший директор ЦРУ Дэвид Петреус и его биограф Паула Бродвелл также использовали "foldering" для отправки секретных сообщений, которые ФБР раскрыло в 2012 году. В переписке указывалось, что у пары был роман.

Но не только Манафорт попался из-за своей компьютерной безграмотности. Во время предвыборной компании в 2016 году электронную почту некоторых функционеров предвыборного штаба Клинтон, хакеры тоже взломали только благодаря их безграмотности.

Более менее подробно последовательность событий описана например в Нью Йорк Таймс.

Хакеры использовали метод атаки, который называется "phishing". Суть этого метода заключается в том что жертве посылают электронное письмо, якобы от провайдера интернет или другой солидной организации. В письме говорится что жертва например должна поменять пароль своей электронной почты, под каким нибудь предлогом, и дается ссылка. Если жертва поверила, то она (жертва) нажимает на ссылку и запускает специальную программу, которая вытаскивает пароль к почтовому ящику, после чего хакер имеет доступ к его содержимому. Еще в марте прошлого года сотруднику предвыборного штаба Клинтон Уильяму Райнхарту, который пользовался почтой Google Gmail прислали именно такое письмо. Скриншот показан ниже:

электронное письмо, которое пришло Подеста

Там говорится что кто-то из Украины пользуется вашим паролем, поэтому вам срочно надо сменить пароль, и дается ссылка большими белыми буквами на синем фоне, куда надо зайти чтобы поменять пароль. Он в это время был на Гавайях и проверял свою почту в 4 часа утра. С первого взгляда выглядит что письмо из Google Gmail, поэтому видимо не разобравшись спросонья, нажал на ссылку и попался.

Точно такое же письмо пришло председателю предвыборной компании Клинтон Подеста, однако он заподозрил неладное и послал это письмо своему помощнику Чарлзу Делавану. Скриншот ответа Делавана показан ниже:

Электронное письмо Делавана

Письмо гласило "Это электронное письмо легальное. Джон должен немедленно поменять пароль", но это была ошибка Делавана. И уже тут оплошность допустил Падеста. Даже несмотря на ошибку Делавана, Падеста мог бы избежать оплошности. Дело в том что Делаван в своем письме дал ссылку на настоящий, легальный, сайт Google, которую я обвел красной рамкой. Если бы Падеста нажал на эту ссылку, он бы просто поменял пароль, и ничего бы не случилось, но он нажал на ссылку, которую предложили ему хакеры, и тоже попался.

В России многие гордятся тем что у них такие продвинутые хакеры, которые сумели взломать сервера демократов. На самом деле такие атаки может совершать 14 летний школьник. Такая программа настолько простая, что ее действительно может написать любой школьник. Например на этой странице есть подробная инструкция как это сделать, которая была опубликована за пол года до известных атак. Причём таких инструкций много. Тем не менее хакеры оказались редкими дебилами, именно поэтому их и вычислили.

Существует технология, которая называется "сокращение URL" (URL shortening). Что такое URL надеюсь все знают. Грубо говоря это адрес страницы, однако URL бывают очень длинными. В результате их неудобно читать, запоминать. У многих сайтов и сервисов, особенно в социальных сетях, существуют ограничения. Поэтому существуют алгоритмы укорачивания URL, принци которых основан на том что генерируется уникальный ключ, состоящий из нескольких символов, который соответствует оригинальному URL. Однако технические детали не так важны. Эта методика уже достаточно хорошо описана, про нее даже в википедия есть статья. Есть много программ, но есть и сайты, которые предоставляют такой сервис. Один из таких сайтов "Bitly" Точнее это название сервиса у которого есть как минимум два сайта - "Bitly.com" и "Bit.ly". Правда если вы нажмете на вторую ссылку, вас все равно перенаправят на "Bitly.com".

Однако Bitly не тольо предоставляет этот сервис, он ведет еще свою статистику, в которой отслеживается вся деятельность по данному URL. Более того, эту статистику может посмотреть любой желающий. Вот как эту ситуацию описывают на сайте "Observer". Цитирую:

Все шпионят за всеми в Интернете, не так ли? Новостные организации отслеживают поведение пользователей на своих сайтах, чтобы узнать, какие статьи читают и откуда приходят посетители. Маркетологи и социальные сети отслеживают ваши движения по всей сети Интернет с помощью cookies и удаленного контента, таких как фотографии.

Но отслеживать людей в Интернете не сложно. Любой человек может собирать информацию о посетителях, просто подписавшись на сервис укорачивания URL, такие как Bitly, Owly, или Owly и запустить их URL через специальный инструмент.

Пользователь может поделиться этой укороченной ссылкой в электронном письме, социальной сети, или внешним веб-сайтом, чтобы точно отследить, сколько посетителей они получают от этого источника. Сокращенный URL также предоставляет дополнительную информацию о посетителях, например, их приблизительное местоположение, канал социальных медиа, тип браузера и операционной системы.

И так далее.

Короче говоря, если вы используете Bitly, всю информацию о вас может узнать любой желающий. Однако на самом деле не все так просто. Дело в том что у Bitly есть два режима работы - "public" и "private". Режим public установлен "по умолчанию".  Именно в этом режиме любой желающий может видеть информацию о вас, но вы можете установить режим private. В этом случае информация для посторонних будет закрыта. Сделать это очень просто, как показано на этой странице.

Я не просто так подробно остановился на этом сервисе, так как хакеры вместо того чтобы написать собственную программу, использовали для укорачивания URL Bitly. Ниже приводится скриншот текста электронного письма, которое получил Подеста:

Электронное письмо, которое получил Подеста

А теперь попробуйте угадать - какой режим использовали хакеры в Bitly, public и private? Как и положено дебилам, они конечно использовали режим по умолчанию, то есть public. В результате вся информация и статистика были доступны для всех желающих, чем воспользовались специалисты "SecureWorks", которые используя URL из письма, которое получил Подеста, зашли на сайт Bitly, и без проблем получили всю необходимую информацию. Но это еще не все.

Документы воруют для чего-то. Это может могут делать в целях шпионажа, чтобы выкрасть какие-то секреты. Это могут быть борцы за идею, которые таким образом пытаются бороться с какими-то злоупотреблениями. Именно под такого борца косит Ассанж. Однако если борцы за идею публикуют какие-то документы, они их не редактируют и ничего там не меняют. Если украденный документ перед тем как опубликовать отредактировали, что-то там изменили, значит цель этих публикаций какая угодно, только не борьба за правду. А хакеры перед тем как опубликовать документы, некоторые из них отредактировали.

Проблема заключается в том что дебилы хакеры видимо не понимали что изменения в документе легко распознать. В любом документе есть скрытая часть, которая в самом документе не видна, но содержит важную информацию. Это часть называется "metadata". Нас в данном случае интересуют два поля из metadata - "author" и "last modified by". С первым параметром все ясно. Это имя автора, но это не обязательно имя человека. Это может быть имя пользователя в компьютере, которое может быть реальным именем, но для пользователя можно использовать любые слова, которые придут в голову.

Второй параметр это имя того кто последний вносил изменение в документ. Так же как и для автора это может быть имя пользователя. Более того, Microsoft Word по умолчанию вставляет имя пользователя. Metadata можно посмотреть или удалить с помощью настроек Microsoft Word.

На этой странице есть ссылка, если пойти по которой, то можно скачать образец документа, которые опубликовали хакеры, а также скриншот настроек где показана. Я это сделал, зашел в настройки документа, и увидел следующую картину:

скринот metadata

Warren Flood это реальное имя активиста Демократической партии, которое совпадает с именем пользователя, а вот сотрудник какой организации мог выбрать имя пользователя, который редактировал документ, догадайтесь сами. Добавлю только что он использовал русскую клавиатуру.

Теоретически это могла быть подстава, только в этом случае возникает классический вопрос - кому это выгодно?

Совершенно очевидно что это было выгодно тому кто очень хотел чтобы Клинтон проиграла, а Трамп выиграл. Нетрудно догадаться кто это, учитывая другие улики, а также выводы различных расследований. Например ещё в июле прошлого года Комитет по разведке Сената опубликовал доклад, основанный на результатах расследования сразу трёх американских спецслужб, в котором говорится что российские спецслужбы вмешивались в выборы чтобы помочь Трампу, а недавно было опубликованы результаты другого исследования, которое тоже было проведено по заказу Комитета по разведке Сената. Исследование это касалось деятельности российских троллей во время предвыборной компании. Оказалось что деятельность их была намного масштабнее чем предполагалось раньше. Причём целью их деятельности однозначно была поддержка Трампа.

Таким образом это не подстава, а идиотизм российских спецслужб.

Короче говоря, чтобы не было проблем, в наше время надо разбираться в компьютерных технологиях. Поэтому мой вам всем совет, который я позаимствовал из известного анекдота, который я использовал для названия статьи.

Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment