- InformNapalm.org (Українська) - https://informnapalm.org/ua -

UCA: Розвідка і контррозвідка для початківців. Урок 1

Хактивіст Українського Кіберальянсу (UCA) [1] Шон [2] (група RUH8) започаткував цикл статей [3] про те, як і для чого працювати з дампами поштових листувань російських загарбників, терористів, колаборантів. Приєднуйтесь до дослідження і документування злочинів Росії, разом ми швидше доведемо російських злочинців і їхніх поплічників до Гааги.


Захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки є найважливішими функціями держави, справою всього Українського народу.

Конституція України. Стаття 17

Робота з поштовими “дампами” в програмі Thunderbird

Волонтери Українського Кіберальянсу (UCA) [4], розвідувальної спільноти InformNapalm [5] і центру «Миротворець» [6] публікують дослідження на основі зламаного листування терористів та російської влади. Ця стаття про те, як ви можете допомогти волонтерам у боротьбі з російською терористичної загрозою.

Наші організації – не ЗМІ у звичному сенсі цього слова. Газети і журнали інформують, а наше завдання – добути потрібну інформацію (яку часто неможливо отримати іншим способом), проаналізувати й опублікувати. Ми ведемо інформаційну та кібервійну з агресором. На відміну від російських пропагандистів, ми не закликаємо вас вірити нам на слово, ми завжди викладаємо «дампи поштового листування» (якщо йдеться про пошту), які лягли в основу чергового дослідження.

Отже, “дамп пошти” – це збережені копії листів зі зламаної поштової скриньки. Питання про те чи етично читати чужу пошту я залишаю на ваш розсуд. Війна – це етично? Стріляти із РСЗВ, прикриваючись мирними мешканцями, – це етично? Це законно? Так, якщо ви завантажите і відкриєте у себе «дамп» – це цілком законно. Це ми зламали поштову скриньку, це ми опублікували її вміст, а ви маєте повне право з ним ознайомитися. Матеріали, які ми викладаємо, стосуються всіх і кожного. Ви маєте право знати.

“- InformNapalm і «Миротворець» уже все прочитали, проаналізували і опублікували, що нам там робити?” Це не зовсім так. Ми не можемо коротко на 10-20 тисяч знаків викласти вміст скриньки об’ємом 10 гігабайтів. Щоб ви зрозуміли які великі це об’єми, наведу простий приклад. Один том збірки творів Л. Толстого займає приблизно 10 мегабайт, у збірці творів 90 томів, а в середньому в поштовій скриньці вмістилося б 1000 томів, або приблизно 11 комплектів повного зібрання творів. А йдеться не про одну скриньку, а про тисячі. І «Миротворець», і InformNapalm продовжують аналізувати архіви, захоплені UCA ще на початку року.

Ми закликаємо журналістів та небайдужих громадян допомогти нам аналізувати пошту. Приєднавшись до цієї роботи, ви дізнаєтеся багато нового й цікавого про російсько-українську війну, побачите, як мислить ворог, допоможете правоохоронцям зупинити підривну діяльність терористів і колаборантів, допоможете зірвати злочинні плани агресора. Для цього вам знадобиться Mozilla Thunderbird [7] і доповнення до неї Import Export Tools [8]Вони безпечні? Так, цілком безпечні, обидві програми розміщені на офіційному сайті Mozilla [9] і не містять вірусів. Завантажуємо (всі картинки клікабельні)

[10] [11]

Встановлюємо доповнення Import Export Tools: відкриваємо пункт “Доповнення” з меню:

[12] [13]

Тиснемо на “шестерню” і вибираємо пункт “Встановити доповнення з файлу”. Вибираємо XPI файл (у моєму випадку це importexporttools-3.2.4.1-sm+tb.xpi), тиснемо “встановити зараз”, після цього Thunderbird запропонує перезапустити програму.

[14] [15]

Для того, щоб працювати з поштою, потрібен обліковий запис. Можете додати свій, а можете натиснути на кнопку “Створити” на панелі інструментів. Запуститься “Майстер облікових записів”, виберіть “Блоги і стрічки новин”. Нам потрібні не вони, а “Локальні папки”. У “локальних папках” потрібно додати нову папку для нашого “дампу”:

[16] [17]

Назвемо її якось, краще, щоб назва не збігалася з адресою поштової скриньки. Якщо вас зацікавить дослідницька робота, то таких папок у вас буде багато. Для прикладу я завантажив дамп [email protected] [18] із сайту ordilo.org [19], і так і назвав папку:

[20]

Завантажений архів дампу треба розпакувати (всередині немає виконуваних файлів, це пошта у форматі MBOX) та імпортувати в поштову програму (клік правою кнопкою по потрібній папці, ImportExportTools -> Імпорт файлу mbox; у вікні, що відкриється, останній пункт: Вибрати каталог у якому (і його підкаталогах) будуть шукати mbox файли для імпорту):

[21] [22]

Все готово

[23]

Як бачите, на скріншоті йдеться про російського найманця Фролова Івана Олександровича [24], якого прихопили в Новосибірську з травою. Якщо ви знайдет найманця чи терориста, постарайтесь знайти його профілі у соціальних мережах, місц і дату народження, і не забудьте перевірити пошуком у “Чистилищі” [25], перш ніж писати на [email protected] . Може він там уже є. Саме так поповнюється база «Миротворця».

Наприклад, у скриньці Кирила Фролова [26], ви зможете знайти і плани терористів, і відомості на фінансування “російської весни”, і таких високопоставлених учасників та радників президента РФ Владислава Суркова і Сергія Глазьєва, а також патріарха московського Гундяєва (Кирила). InformNapalm опублікував [27] на цю тему сім статей, «Миротворець» ще чотири, але величезна кількість матеріалів ще лежить і чекає на свого дослідника.

 

Основи комп’ютерної криміналістики: перевіряємо автентичність поштового листування

У попередній частині публікації ми навчилися працювати з Thunderbird, з цікавістю гортаємо листи сепаратистів і вже розкрили тридцять три змови, потрапили до новин із сенсаційним розвінчанням і відправили сто двадцять осіб на Миротворець. Припустимо, ми знайшли дуже цікавий лист, і тут підкрадається думка: “Даруйте, не може цього бути! мабуть, це фейк :-(”

У цьому розділі я розповім, як перевіряти автентичність поштового листування.

Отже, у нас є лист:

[28]

Для початку постараємося з’ясувати, чи справді адреса, вказана в заголовку, належить адресату (“Департамент інформаційної політики ДНР”). Скопіюємо адресу “[email protected]”, і саме так (з лапками) заб’ємо у пошуковик, ось наше перше підтвердження:

[29]

Стандарти журналістики вимагають, щоб інформація підтверджувалася щонайменше двома джерелами. У цьому випадку знайти друге джерело неважко.

Якщо ви перевіряєте автентичність всього дампа, то треба перевірити, чи подія, про яку йдеться у пошті, відбулася в реальності. Прес-конференція терориста Захарченка була запланована на 29 квітня 2016 року:

Адміністрація Захарченка анонсувала у п’ятницю прес-конференцію по факту замаху на Главу ДНР
Квітень 28, 2016 22:54 // Оновлено: Квітень 28, 2016 22:57 [30] Донецьке агентство Новин

NB! archive.is [31] – дуже зручний сервіс для фіксації вмісту веб-сторінок і створення скріншотів)

Ідеальна ситуація – це коли жертва зламу не заперечує факт зламу пошти. У випадку із Сурковим [32] низка осіб, згаданих у листуванні, підтвердили його автентичність (наприклад, Чичваркін), а ІА Reuters знайшли в дампі свій власний лист з проханням про інтерв’ю. В іншому випадку, начальник IT-відділу т. зв. “міністерства інформації” терористичної організації “ДНР” нахабно заявив, що він ледь не навмисне злив 300 гігабайтів “міністерської” пошти (насправді проморгав п’ять зламів протягом півроку, щонайменше, трьома різними групами хакерів), чим мимоволі підтвердив автентичність листування. А що робити, якщо “ні”? Як Bellingcat, Atlantic Council і експерти-криміналісти підтверджують автентичність?

Повернімося до комп’ютерно-технічної експертизи вибраного листа. Всі ми звикли до того, що у листа є заголовки – “Від кого”, “Кому”, “Дата”, “Тема”, а системні адміністратори прекрасно знають, що у полі “From” можна написати що завгодно. Давайте подивимося на вихідний текст листа разом з усіма заголовками:

[33]

Почнемо з IP-адреси відправника (X-Originating-IP) – 185.28.108.198, що ми можемо дізнатися за цією адресою? Для початку, на кого вона зареєстрована. Забиваємо адресу в якийсь онлайн-whois сервіс, наприклад, http://ping.eu/ns-whois/ [34] (whois – це глобальна, розподілена, відкрита база даних, у якій вказано власників блоків IP-адрес, зазвичай це провайдери):

...
organisation	ORG-TSL26-RIPE
org-name	Meshnet ltd.
org-type	LIR
address		28, Freedom ave.
address		04215
address		Kyiv
address		UKRAINE
phone		+380503266737
...

Київ? Невже фейк? Дамо трасу (Пуск -> Виконати -> cmd -> tracert 185.28.108.198):

 5  soniko-ix.giganet.ua (185.1.62.61)  7.919 ms  10.441 ms  13.497 ms
 6  don-p60.mixmedia-ua.net (185.28.108.254)  29.892 ms  26.501 ms  33.949 ms
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * 185.28.108.198 (185.28.108.198)  37.237 ms

Виявляється, адміністрація ватажка терористів “ДНР” підключена до київського провайдера, “don-p60” це, найімовірніше, вузол, розміщений у точці обміну трафіком на вул. Постишева, 60, м. Донецьк. Іноді IP-адреси встигають помінятися, але у цьому випадку нам пощастило і ми з’ясували, що лист був справді написаний десь в окупованому Донецьку. Іноді є можливість підняти й архівні записи.

Кожен поштовий сервер, через який проходить лист на шляху до адресата, додає в тіло листа заголовки Received (який поштовий сервер і від якого сервера отримав лист):

Received: from f351.i.mail.ru (f351.i.mail.ru [217.69.140.247])
	by dnr-online.ru (Postfix) with ESMTP id DF8D615ECCB
	for <[email protected]>; Fri, 29 Apr 2016 09:55:42 +0300 (MSK)
Received: from [185.28.108.198] (ident=mail)
	by f351.i.mail.ru with local (envelope-from <[email protected]>)
	id 1aw2Kk-0003vA-K7; Fri, 29 Apr 2016 09:55:27 +0300

Перевіримо, чи збігаються імена серверів і IP-адреси (nslookup f351.i.mail.ru):

Name: 	 f351.i.mail.ru
Address: 217.69.140.247

Чи збігається перший Received з X-Originating-IP? Так, збігається. Чи немає аномалій в датах? Лист отримали dnr-online.ru о 09:55:42, а на mail.ru він потрапив 09:55:27. Чи збігається “envelope-from” з “From” – так, збігається.

І тепер найцікавіший заголовок DKIM:

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail2;
	h=Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:From; bh=01YQOWLPQnuDZVq2f09J2Nu0hUBJfba8yYBukf6TUEY=;
	b=QfVd6eusSjJC69dfPWgxGTRMZ+JpW2EC3JuMVMmltWGjI89uGowy1ZM7RyrrxHUOoQPeaHL5oSDPU9p7xx2HOKgQcG9skOgSrWTuF2VgXFBPL7bFL
	PDCGWcobAvs6SYxWcw/Yc9WNsl++RU86XeKmvenDwkaiZjoi71xOzIlcJ4=;

DKIM – це електронний цифровий підпис (ЕЦП), який засвідчує цілісність документу (якщо хоча б одна буква у листі зміниться, то підпис стане недійсним, і неможливість відмови від авторства (поштовий сервіс діє так само, як і нотаріус, спочатку засвідчує особу відправника, а потім накладає на лист цифровий підпис). Чи можна підробити ЕЦП? Ні. І зараз поясню, чому.

Часто, щоб приховати повідомлення від сторонніх очей – його шифрують (найпростіший метод – це заархівувати файл з паролем і послати пароль не в пошті, а телефоном). У такій схемі шифрування один і той самий пароль використовує і відправник і одержувач, тому вони називаються симетричними [35]. Для цифрового підпису використовуються хеш-функції [36] і асиметричні алгоритми [37] (у яких для шифрування використовується один ключ, а для розшифровки – інший).

“Хеш-функція” – це надто хитромудро. Поясню на простому прикладі. Я хочу надіслати повідомлення “Hello!”. Кожній букві відповідає число:

H   e   l   l   o   !
72  101 108 108 111 33	(символы в кодировке ASCII)

Я додаю всі числа і отримую результат: 533 – це і є хеш. Я кажу отримувачу: “Я надішлю тобі повідомлення, і для того, щоб переконатися, що воно справді від мене, – додай всі букви і у тебе має вийти 533”. Для цифрового підпису використовують складніші функції, але принцип той самий. Але щоб така схема працювала, хеш треба передавати окремо від листа (наприклад, телефоном), це дуже незручно. На допомогу приходить криптографія з відкритим ключем.

У поштового сервера є “закритий” ключ, який охороняють як зіницю ока. Коли приходить лист, сервер рахує хеш від заголовків (всі поля To: From: Date: та інші) і хеш від тіла листа (разом з усіма вкладенням й картинками), після цього шифрує обидва хеша своїм секретним ключем. Розшифрувати хеші може кожен охочий з допомогою відкритих ключів. Зверніть увагу на поля “d” і “s” – це домен “нотаріуса” і “селектор” (ідентифікатор ключа). Отримаємо відкритий ключ для mail.ru / mail2:

$ host -t TXT mail2._domainkey.mail.ru
mail2._domainkey.mail.ru descriptive text "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GN"
	"ADCBiQKBgQC8msGcERt9i1AqEs6Dl5n0btBDj4W3IjzNg1xA"
	"ExTn1Wb7wjRk9ed8oJ6Xnxn2jSYwbt3G65lW8LK/8vVdx2ar"
	"FexHgKmOXT5RKIeiYFkHmLEtycrRkyJHr6n7rsjwlFSayXnx"
	"rM0xbum3oHXgNJUI1XQXJNoQPmAXoMCbi2yB7QIDAQAB"

У нас є ключі. І зашифровані хеші заголовків і тіла листа. Для того, щоб перевірити автентичність, потрібно заново порахувати хеші (використовується алгоритм SHA256), розшифрувати хеші з тіла листа поля b і bh в DKIM-Signature і порівняти. Це і є цифровий підпис. Для того, щоб його підробити, треба або вкрасти секретні ключі (не тільки у mail.ru, але й у google та інших великих компаній), або розв’язати дуже складну математичну задачу, на розв’язання якої не вистачить всіх комп’ютерів у світі. Хороший технічний опис DKIM ви можете прочитати у Sp0raw, який таким способом топить Навального [38], що зайвий раз підкреслює, що крим не бутерброд математика однакова для всіх.

Щоб перевірити цифровий підпис, не обов’язково заглиблюватися у тонкощі криптографії, для цього є онлайн-сервіс dho’s Online DKIM Verifier [39]. Натискаємо Ctrl-U на листі, який нас цікавить, переконуємося, що є заголовок DKIM-Signature, виділяємо текст (Ctrl-A), вставляємо в перевірялку і отримуємо результат (pass – перевірку пройдено). Спробуйте змінити хоч одну букву, і цифровий підпис “злетить”:

[40]

Тож як технічний експерт, я готовий свідчити в суді, що пошта російського куратора з позивним “Сєвєр” автентична, і він був залучений в процес прийняття рішень в т. зв. “міністерстві інформації” терористів “донецької народної республіки”.

Якщо цифрового підпису немає, або він пошкоджений (у mail.ru є особливості, про які не знає онлайн-чекер, але які легко пояснюються з технічної точки зору), то аналіз заголовків, перехресний аналіз дампів, свідчення свідків та інформація з відкритих джерел дають змогу з високим ступенем ймовірності говорити про автентичність перехопленого листування.

© 2017 RUH8 [41]


Ознайомитися з основними етапами кібервійни у 2016 році ви можете у статті Кібервійна: огляд найуспішніших публічних операцій Українського Кіберальянсу в 2016 році [42]

До вашої уваги також фільм про Український Кіберальянс

та інфографіка найуспішніших операцій Українського Кіберальянсу

[43]