![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineКто-то из озабоченных русским хакерством дал ссылку на статью в зе хилл (читать не надо):
http://thehill.com/business-a-lobbying/289296-guccifer-20-used-russian-language-vpns-to-leak-documents
Авторы статьи пишут:
Вообще бесит читать эту всю бесконечную воду ссылок друг на дружку и пытаться там найти крупицы фактов. Тут они утверждают что этот тхреатконнект установил, что почта отправлялась гуццифером с русскоязычного сервиса ВПН. С раздражением прекратил чтение с тем, чтоыб проследовать к статье тхреатконнекта с целью установить чё за сервис ВПН.
https://www.threatconnect.com/blog/guccifer-2-all-roads-lead-russia/
Они там пишут:
Какие мы крутые, а он такой лох.
Дальше этот хлам не читал, может там есть какие привязки к предоминантному русскоязычному сервису ВПН, но два абзаца вглубь они сами пишут, что это какой-то французский провайдер ДигиКубе СаС.
Исчо они тут пишут, что айпишник под вопросом не заспуфлен, т.к. защищён цифровой подписью ДКИМ. Скриншота или текста всей метадаты они предоставлять как-то постеснялись, ну, чтоб включало хэш и подпись, чтобы мы могли сами посчитать и убедиться, что сходится.
Кроме того, чтобы посчитать, мы могли бы посмотреть на то, какие хэдеры защищены ДКИМом. А такой вопрос у нас возникает сразу, потому что защищать поля Received: при помощи ДКИМ это, как минимум, необычно (у кого-нить есть почта на аол.фр если -- дайте мне хэдеры письма отправленного оттуда для проверки если не влом), а как максимум работать не будет т.к. полей Received: несколько и они добавляются по ходу передачи письма.
Типовой хэдер ДКИМ:
Обратите внимание на тэг h=, он содержит все РФЦ хэдеры, с которых после каноникализации считается хэш. Хэдера Received: там нет и если я увижу письмо с таким хэдером в тэге h= я удивлюсь, это необычно. Думаю, что и у аол.фр его нет (а если есть -- то почему нет ключевых скриншотов), сл-но, все рассуждения о том, что адрес не заспуфлен превращаются в тыкву.
Дальше это говно не читал, времени нет читать всякую ересь.
Из смешного, представления дем электората о работе русских хакеров:
http://geish-a.livejournal.com/1223481.html
Очень мило, ггг!
http://thehill.com/business-a-lobbying/289296-guccifer-20-used-russian-language-vpns-to-leak-documents
Авторы статьи пишут:
The Mail.com metadata includes the internet address of who is mailing outgoing messages — in Guccifer 2.0’s case, the VPN.
Vocativ reported Tuesday that ThreatConnect had discovered the hacker used a predominantly-Russian-language VPN when he corresponded with them through a French AOL account. ThreatConnect matched that same internet address from the same VPN to the Mail.com email.
Вообще бесит читать эту всю бесконечную воду ссылок друг на дружку и пытаться там найти крупицы фактов. Тут они утверждают что этот тхреатконнект установил, что почта отправлялась гуццифером с русскоязычного сервиса ВПН. С раздражением прекратил чтение с тем, чтоыб проследовать к статье тхреатконнекта с целью установить чё за сервис ВПН.
https://www.threatconnect.com/blog/guccifer-2-all-roads-lead-russia/
Они там пишут:
As we can see here within ThreatConnect, Guccifer 2.0’s AOL email message reveals the originating IP address as 95.130.15[.]34 (DigiCube SaS – France). This is the IP address of the host which authenticated into AOL’s web user interface and sent the email. We can also tell this IP was not spoofed because the metadata was added by AOL when sent from within their infrastructure with appropriate DomainKeys Identified Mail (DKIM) configurations.
The fact that Guccifer 2.0 is indeed leveraging a French AOL account stands out from a technical perspective. Very few hackers with Guccifer 2.0’s self-acclaimed skills would use a free webmail service that would give away a useful indicator like the originating IP address. Most seasoned security professionals will be familiar with email providers that are more likely to cooperate with law enforcement and how much metadata a provider might reveal about their users. Taken together with inconsistencies in Guccifer 2.0’s remarks that make his technical claims sound implausible, this detail makes us think the individual(s) operating the AOL account are not really hackers or even that technically savvy. Instead, propagandist or public relations individuals who are interacting with journalists.
Какие мы крутые, а он такой лох.
Дальше этот хлам не читал, может там есть какие привязки к предоминантному русскоязычному сервису ВПН, но два абзаца вглубь они сами пишут, что это какой-то французский провайдер ДигиКубе СаС.
Исчо они тут пишут, что айпишник под вопросом не заспуфлен, т.к. защищён цифровой подписью ДКИМ. Скриншота или текста всей метадаты они предоставлять как-то постеснялись, ну, чтоб включало хэш и подпись, чтобы мы могли сами посчитать и убедиться, что сходится.
Кроме того, чтобы посчитать, мы могли бы посмотреть на то, какие хэдеры защищены ДКИМом. А такой вопрос у нас возникает сразу, потому что защищать поля Received: при помощи ДКИМ это, как минимум, необычно (у кого-нить есть почта на аол.фр если -- дайте мне хэдеры письма отправленного оттуда для проверки если не влом), а как максимум работать не будет т.к. полей Received: несколько и они добавляются по ходу передачи письма.
Типовой хэдер ДКИМ:
Обратите внимание на тэг h=, он содержит все РФЦ хэдеры, с которых после каноникализации считается хэш. Хэдера Received: там нет и если я увижу письмо с таким хэдером в тэге h= я удивлюсь, это необычно. Думаю, что и у аол.фр его нет (а если есть -- то почему нет ключевых скриншотов), сл-но, все рассуждения о том, что адрес не заспуфлен превращаются в тыкву.
Дальше это говно не читал, времени нет читать всякую ересь.
Из смешного, представления дем электората о работе русских хакеров:
http://geish-a.livejournal.com/1223481.html
Очень мило, ггг!
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2016-12-16 10:27 pm (UTC)no subject
Date: 2016-12-17 04:51 am (UTC)no subject
Date: 2016-12-17 09:00 am (UTC)однако нафига спуфать ип с впн на другой впн? тоже бредовая идея
но и французский впн, то естественно это не доказательство русскоязыности или русского ип
это косвенная улика, что с большой долей вероятности они
вероятность математическая -- это про случайные величины; а преступные действия часто не случайны
фишка в том, что во франции сильные антихакерские законы, хранить логи годами, устойчивая криптография была запрещена (сейчас не знаю)
дык затребуйте
вообще на месте анб я бы обязал всех продавцов виртуалок в ядро вставлять трек-спецмодули
и чтобы ксплайс там учитывался (а впрочем реального хост-рута никто и не даёт)
чтобы можно было муму не топтать с запросами, а пойти и собрать всю цепочку конектов
no subject
Date: 2016-12-18 12:01 am (UTC)Где блядь бинарники. Где блядь капчи сетевого трафега. Где фактура?
Я готов согласиться с тезисом, но почему типа уважаемые фирмы, которые прекрасно умеют писать отчёты, вдруг разучились это делать?
Ну вот в этом случае, почему, почему в статье отсутствует хотя бы текст, а лучше скриншот и текст всей метадаты имэйла? Что, блядь, руки отсохли его вставить, ведь это КЛЮЧЕВАЯ информация на которой основаны дальнейшие рассуждения
Это не инженеры писали такое ощущение, а идиоты, а другие идиоты выверяли текст и фактуру
no subject
Date: 2016-12-17 08:10 pm (UTC)