![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
lj user dwarkin навёл меня на длинную статью в Slate по поводу якобы коммуникаций Трампа с российским банком. Статья меня заинтересовала, однако вовсе не тем, чем пыталась. Пост вышел очень длинным, уж извините, потому что статья битком набита бредом. Потом попытаюсь отдельно резюмировать. Да, статью я буду цитировать кусочно, хотите полного погружения - выше по ссылке.
А, да, и всё это предлагает некий уровень базовых знаний о том, как устроен интернет. Если у вас его нет, вряд-ли буде интересно, ждите резюме.
Was a Trump Server Communicating With Russia?
Крайне идиотский заголовок, поскольку любой сервер, находящийся в публичном доступе, можно заставить коммуницировать с любым другим, просто послав соответствующий сетевой пакет. Так работают сетевые протоколы. Ладно, дальше будет интереснее.
In late spring, this community of malware hunters placed itself in a high state of alarm. Word arrived that Russian hackers had infiltrated the servers of the Democratic National Committee.
Неясно, причём тут malware hunters. Malware hunters занимаются анализом программ, заражающих компьютеры (этот термин следует тут толковать максимально широко - последняя массивная атака была проведена силами взломаных IP-вебкамер и т.п. устройств).
Т.е. если они искали, как DNC взломали, то это интересно, но тут пока я подвижек не слышал. Вообще же с последствиями взлома обычно разбираются специалисты по forensics, консультируясь, конечно, со специалистами по малверу, но "high state of alarm" после взлома делать уже поздно.
The computer scientists posited a logical hypothesis, which they set out to rigorously test: If the Russians were worming their way into the DNC, they might very well be attacking other entities central to the presidential campaign, including Donald Trump’s many servers.
Это отличная гипотеза, как жаль, что в статье далее не рассматривается, что же с ней случилось. Про эту гипотезу забыли моментально, вместо этого пошла развесистая конспирология.
says one of the academics, who works at a university that asked him not to speak with reporters because of the sensitive nature of his work.
Т.е. ему запретили говорить с журналистами, он всё равно говорит с журналистами, но при этом мы не знаем, кто это, так что проверить, существовал ли он и не перевраны ли его слова, невозможно. Удобно. Единственное, что мы знаем об этом человеке - что ему нельзя доверять, если он уже нарушил обещание, данное своему работодателю, вряд ли он будет более лоялен к нам.
Hunting for malware requires highly specialized knowledge of the intricacies of the domain name system
Эмммм... ну какбы да, хотя это далеко не первое и главное знание. Это как сказать "автомеханику нужны глубокие знания о закручивании гаек". В принципе да, гаек в автомобиле много, и надо их уметь закручивать, но суть работы описана не совсем адекватно.
Computer scientists have built a set of massive DNS databases, which provide fragmentary histories of communications flows, in part to create an archive of malware: a kind of catalog of the tricks bad actors have tried to pull, which often involve masquerading as legitimate actors.
Тут начинается интересное. Скорее всего, имеется в виду база адресов DNS, связанных с малвером. Тут нужно немного пояснить, как работают ботнеты. Т.е. они по-разному работают, и я не претендую на глубокие знания в этом вопросе, это одна из известных мне моделей.
Сам по себе заражённый комп довольно бесполезен, ему надо отдавать команды. Для этого там должно где-нибудь быть написано, куда за командами ходить (опять же, не обязательно, есть другие способы, одна из моделей!). Однако если просто прописать "ходить вот сюда", то это опасно - вдруг этот сервер закроют? Или взломают конкуренты? Или полиция просечёт, с каким адресом много заражённых компов говорит, и арестует сервер? Нужно, чтобы адрес менялся. Но если он меняется, как его узнать? Для этого и есть DNS. Причём не просто фиксированный DNS, как www.google.com, а динамически меняющийся. Как конкретно - это опять же везде по разному, тут я очень по верхам знаю. Но идея понятная - у каждого извода malware будет какой-то алгоритм, как найти Центр, из которого получать команды, и если собрать базу этих адресов, алгоритм можно вычислить, опеределить, где этот Центр сейчас и где будет в дальнейшем, и перехватить, скажем, управление.
These databases can give a useful, though far from comprehensive, snapshot of traffic across the internet.
Тут наполовину фигня - действительно, DNS некоторым образом намекает, кто с кем собирается разговаривать, но сам по себе является лишь микроскопической долей трафика и вовсе не обязательно вообще в разговоре участвует. Однако если речь идёт о malware, то их трафик, исключая то время, когда они осуществляют DDOS - микроскопический, а остальной трафик непонятно, зачем был бы нужен malware hunters.
Some of the most trusted DNS specialists—an elite group of malware hunters, who work for private contractors—have access to nearly comprehensive logs of communication between servers. They work in close concert with internet service providers, the networks through which most of us connect to the internet, and the ones that are most vulnerable to massive attacks.
Вау. Вот это настоящая сенсация, кроме шуток. Т.е. какие-то "элитные группы" имеют доступ к полным логам DNS-трафика интернет провайдеров и хранят их на долговременной основе? Это же тот самый вопрос, по которому до сих пор копья ломают, можно ли NSA это делать. А тут оказывается, что какой-то хер с горы в в каком-то университете или частной компании получает это всё без всякого Конгресса и суда, получает самую приватнейшую информацию без всякого контроля и уведомления пользователей. Но не просто получает, а болтает об этом с журналистами!
Есть, конечно, и ещё один вариант - журналист просто не понял, что ему сказали, и написал фигню. Как отличить варианты, я не знаю.
Я подозреваю, что речь всё-таки идёт о логах DNS запросов - даже это довольно серьёзное нарушение приватности, но если это действительно "comprehensive logs of communication", это уже масштабы NSA. Впрочем, я не очень представляю, кто, кроме NSA, имеет ресурсы писать весь трафик, не говоря уж о том, что большинство этого трафика сейчас зашифровано, а следовательно, нормальным людям - не NSA - бесполезно. Так что далее будем считать, что речь идёт только о DNS.
They are entrusted with something close to a complete record of all the servers of the world connecting with one another.
Это опять же намекает на полные логи всего трафика, но я в это не верю, журналист, скорее всего, лепит ерунду.
“I have an outlier here that connects to Russia in a strange way,” he wrote in his notes. He couldn’t quite figure it out at first. But what he saw was a bank in Moscow that kept irregularly pinging a server registered to the Trump Organization on Fifth Avenue.
Тут что-то не складывается - так соединение инициировалось из России или в Россию?
Впрочем, если речь идёт о malware - что вполне возможно, сервера со словом trump в домене ничем не лучше других, то это неважно - это может значить, что один из серверов под этим доменом поймал бяку и пытается теперь получать указания из центра в России. Гипотеза вполне рабочая, посмотрим, что получится.
More data was needed, so he began carefully keeping logs of the Trump server’s DNS activity
Трампу - точнее, конечно, одному из 9000 его бизнесов - похоже, пора менять провайдера - получается, что какие-то люди могут невозбранно писать его трафик просто потому, что им стало интересно? Я не знаю, уместен ли уже разговор о wiretapping, но разговор о нарушении приватности налицо. Тем более когда сегодня ему интересно, а завтра он уже сливает это в партийную прессу.
As he collected the logs, he would circulate them in periodic batches to colleagues in the cybersecurity world.
Хуясе. Мало того, что он чужой трафик пишет без разрешения, он ещё и друзьям его показывает? Тут или журналист что-то упускает, или у этих ребят что-то серьёзно проблематично с этикой.
I communicated extensively with Tea Leaves and two of his closest collaborators, who also spoke with me on the condition of anonymity, since they work for firms trusted by corporations and law enforcement to analyze sensitive data.
Перевод: люди доверяют нам самые приватные данные, мы срать хотели на правила этичного обращения с этими данными, но если узнают, кто мы, то нас за это уволят нахер, поэтому мы анонимны. Отличненько.
The researchers quickly dismissed their initial fear that the logs represented a malware attack. The communication wasn’t the work of bots.
OK, идея понятна. Думали, трафик принадлежит ботнету, но оказалось не похоже. Бывает. Тут наша задача как malware hunter закончилась, и на этом закончилась и история. Ага, хрена с два, тут-то всё и началось!
The irregular pattern of server lookups actually resembled the pattern of human conversation
LOLWUT? Зачем для человеческой беседы нужны постоянные запросы DNS, тем более об одном и том же сервере? Для этого достаточно одного запроса. О чём речь, непонятно, но сыглядит ерундой.
conversations that began during office hours in New York and continued during office hours in Moscow
Серверы, как известно, могут работать только в официальные офисные рабочие часы. В остальное время они отключаются от сети и спят.
Но мало того, офисные часы в Москве наступают раньше таковых в Нью-Йорке, поэтому continued должно быть в другую сторону - сначала офисные часы начинаются в Москве, а потом продолжаются в Нью-Йорке. Я понимаю, что журналист явно не специалист в IT, но где находится Москва, он может выяснить? В другую сторону не работает - там дырка, офисные часы заканчиваются в Нью-Йорке, а в Москве ещё ночь. Так что если они намекают, что это был какой-то бизнес, то тогда он должен быть выглядеть наоборот.
Это, конечно, мелочь - но там всё так. Это мелочь, понятная даже непрофессионалу.
The researchers had initially stumbled in their diagnosis because of the odd configuration of Trump’s server.
Тут мы наконец выяснили, что это за сервер, точнее, что это за домен: trump-email.com. Это сервер, который маркетинговые организации трамповских бизнесов использовали для рассылки своего спама.
But now this capacious server handled a strangely small load of traffic, such a small load that it would be hard for a company to justify the expense and trouble it would take to maintain it. “I get more mail in a day than the server handled,” Davis says.
Заметим, что эти люди уже каким-то образом получили доступ - по словам журналистов - не только к спецификациям сервера, но и к данным о его трафике - в частности, количестве писем, через него проходящих. Что вообще говоря опять же приватная информация, но кто вам считает? Интересно, однако, узнать бы - как именно они получили такой доступ?
That wasn’t the only oddity. When the researchers pinged the server, they received error messages. They concluded that the server was set to accept only incoming communication from a very small handful of IP addresses.
Перевод: на сервере есть файрвол и контроль доступа к мейл-серверу. Для людей, понимающих о чём речь, повторяю: на сервере, подключённом к публичному интернету, есть файрвол и контроль доступа, и это нам предлагается считать очень странным, буквально зловещим. В обычных условиях я бы уже прекратил читать после этого, но in for a dime, in for a dollar.
A small portion of the logs showed communication with a server belonging to Michigan-based Spectrum Health.
Каких, интересно, logs? Они взломали этот сервер, или это логи, которые им ISP слило? В любом случае, напомню, что речь идёт о мейл-сервере, рассылающем маркетинговые коммуникации. Т.е. кто-то из Мичигана купил что-то в одном из бизнесов Трампа, и теперь маркетинг шлёт ему мейлы. Невиданое дело, а?
While we did find a small number of incoming spam marketing emails, they originated from a digital marketing company, Cendyn, advertising Trump Hotels.
Итак, Трамп замешан в том, что отель, носящий его имя, рекламируется по электронной почте. Cendyn - это, кстати, на кого и домены зарегистрированы, насколько я понял. DNS, правда, не совсем понятно чей, не разбирался.
Spectrum accounted for a relatively trivial portion of the traffic. Eighty-seven percent of the DNS lookups involved the two Alfa Bank servers.
ОК, какие серверы альфа-банка? Тоже, небось, почтовые? Итого, мы имеем, что кто-то слал письма через спам-сервер trump-email.com - который, как мы уже видели, сдаётся в аренду третьим лицам - куда-то в Альфа-Банк. Хм, ну и? Хотелось бы чего поинтереснее.
“It’s pretty clear that it’s not an open mail server,” Camp told me. “These organizations are communicating in a way designed to block other people out.”
Только идиот в современном интернете имеет open mail server. Camp профессионал, она не может этого не знать. WTF?
Earlier this month, the group of computer scientists passed the logs to Paul Vixie.
After studying the logs, he concluded, “The parties were communicating in a secretive fashion. The operative word is secretive. This is more akin to what criminal syndicates do if they are putting together a project.”
WTF? Каким образом можно из DNS-трафика сделать такой вывод? И с каких пор секретные коммуникации - признак криминала?
Вообще участие Vixie в этой лавочке неясно - с одной стороны, я к нему испытываю глубокое профессиональное уважение, с другой - судя по фейсбуку, он ярый анти-Трамповец. Неужели настолько, что его политика превозмогла и рассудок? Или всё-таки журналист врёт?
Put differently, the logs suggested that Trump and Alfa had configured something like a digital hotline connecting the two entities,
Через DNS???? Нет, конечно, можно делать covert channel таким образом, даже наверное эффективно, но реально делают это только в одно случае - для секретной эксфильтрации информации. Иными словами - malware и шпионаж. Если это не malware, то тогда это выглядит бредом. Для любой тайной цели можно просто сделать VPN, который вообще ни в каких DNS не нуждается. Какая-то ерунда выходит. Сапоги всмятку.
shutting out the rest of the world, and designed to obscure its own existence.
Да он упоротый. Все защищённые коммуникации в интернете так устроены, и все сервера ведут себя именно так. И, конечно, назвать его trump-email.com - это офигенный способ зашифроваться. Скоро они обнаружат, что у Трампа ещё есть тайная сеть отелей и казино...
The sweeping nature of Trump’s claim, however, prodded the scientists to dig deeper. They were increasingly confident that they were observing data that contradicted Trump’s claims.
Погодите, т.е. эти "учёные", вместо того, чтобы заниматься своей оригинальной задачей - безопасностью коммуникаций и охотой за malware - теперь начали копать исключительно с целью опровергнуть слова Трампа? И с этой целью они всё ещё имели доступ к логам трафика как минимум ISP Трампа, и возможно многих других, и активно использовали эти логи с этой целью? Я понимаю, что про этику мы уже давно забыли, но по-моему, тут мы вступаем на почву УК уже. Это то, на чём ребята в Вотергейте погорели, нет? Подслушивание коммуникаций политических противников с целью навредить их кампании?
Однако чем же занимались эти серверы?
I think mail is more likely, because it’s going to a machine running a mail server and [the host] is called mail.
Ну, что я говорил? Я ещё досюда не дочитал, когда написал про мейлсерверы. Итого мы имеем преступный синдикат из двух мейл-серверов. The plot thickens.
“I can't attest to the logs themselves,” he told me, “but assuming they are legitimate they do indicate effectively human-level communication.”
Опять же не понимаю, как такой вывод можно сделать из логов DNS и чем отличается human-level communication от inhuman-level.
Тут я начал искать, о каких логах идёт речь, и, судя по всему, этот самый tea leaves - напомню, по словам журналистов, человек, которому корпорации и правоохранители доверяют наиприватнейшую информацию - эти логи вывесил в публичный доступ.
Я также понял, какое утверждение оригинально делалось насчёт этих логов - что Альфа-Банк - точнее, какой-то сервер в сети Альфабанка - имеет доступ к мейл-серверу trump-email.com и пользовался им для коммуникаций. Поскольку это не открытый сервер (так вот зачем дураку-журналисту это обьясняли), то это намекает на некий эксклюзивный доступ. Т.е. не исключено, что кто-то в АБ - или кто-то, кому сдают в аренду сервер в том же диапазоне адресов - тоже спамил через этот сервер.
Дальше там много фигни не по делу, её я пропускаю, и обратно к заговору мейлсерверов:
The Times hadn’t yet been in touch with the Trump campaign—Lichtblau spoke with the campaign a week later—but shortly after it reached out to Alfa, the Trump domain name in question seemed to suddenly stop working.
Это интересная подробность, означающая, что, по-видимому, кто-то на стороне АБ знал об этом сервере, и для чего-то его использовали, однако решили перенести на другой домен. Не исключено, что потому, что "такой большой сервер" (см. выше) им больше не нужен, о нём забыли, но теперь им об этом напомнили.
Four days later, on Sept. 27, the Trump Organization created a new host name, trump1.contact-client.com, which enabled communication to the very same server via a different route.
Я хотел бы знать, как они узнали, что это very same server, но если Трамп действительно намеревался вести тайные дела с Альфабанком (и почему-то для этого ему обязательно нужен отдельный сервер), то он, конечно, не нашёл ничего лучшего, как назвать его trump1. Для скрытности.
The first attempt to look up the revised host name came from Alfa Bank.
Опять же, интересно, как они это узнали? Однако, ладно - это интересный факт, по крайней мере, намекает, что между этими двумя серверами есть какая-то связь.
Soon after the New York Times began to ask questions, the traffic between the servers stopped cold.
Однако ровно ни для чего эту связь не использовали. А почему DNS?
Ну вот например поэтому:
Mandiant is still doing its deep dive into the Alfa Bank systems. Its leading theory is that Alfa Bank's servers may have been responding with common DNS look ups to spam sent to it by a marketing server. But it doesn't want to speak on the record until it's finished its investigation.
Но журналиста не так-то просто сбить с линии!
Furthermore, there’s no such thing as “regular” DNS server traffic, at least not according to the computer scientists I consulted. The very reason DNS exists is to enable email and other means of communication
Это идиотское заявление, понятно, что DNS используется для мейла, однако это совсем не значит, что DNS используется *только* для мейла - источников запросов по DNS может быть множество. К сожалению, scientists не смогли, видимо, обьяснить этого партийному журналисту.
What the scientists amassed wasn’t a smoking gun. It’s a suggestive body of evidence that doesn’t absolutely preclude alternative explanations.
Иными словами, есть некие данные, которые можно обьяснить сотней способов, и партийный журналист попытался по-быстрому сварганить из этого сенсацию и хоть как-то связать Трампа с Россией. Получилось полное говно. Резюме последует.
А, да, и всё это предлагает некий уровень базовых знаний о том, как устроен интернет. Если у вас его нет, вряд-ли буде интересно, ждите резюме.
Was a Trump Server Communicating With Russia?
Крайне идиотский заголовок, поскольку любой сервер, находящийся в публичном доступе, можно заставить коммуницировать с любым другим, просто послав соответствующий сетевой пакет. Так работают сетевые протоколы. Ладно, дальше будет интереснее.
In late spring, this community of malware hunters placed itself in a high state of alarm. Word arrived that Russian hackers had infiltrated the servers of the Democratic National Committee.
Неясно, причём тут malware hunters. Malware hunters занимаются анализом программ, заражающих компьютеры (этот термин следует тут толковать максимально широко - последняя массивная атака была проведена силами взломаных IP-вебкамер и т.п. устройств).
Т.е. если они искали, как DNC взломали, то это интересно, но тут пока я подвижек не слышал. Вообще же с последствиями взлома обычно разбираются специалисты по forensics, консультируясь, конечно, со специалистами по малверу, но "high state of alarm" после взлома делать уже поздно.
The computer scientists posited a logical hypothesis, which they set out to rigorously test: If the Russians were worming their way into the DNC, they might very well be attacking other entities central to the presidential campaign, including Donald Trump’s many servers.
Это отличная гипотеза, как жаль, что в статье далее не рассматривается, что же с ней случилось. Про эту гипотезу забыли моментально, вместо этого пошла развесистая конспирология.
says one of the academics, who works at a university that asked him not to speak with reporters because of the sensitive nature of his work.
Т.е. ему запретили говорить с журналистами, он всё равно говорит с журналистами, но при этом мы не знаем, кто это, так что проверить, существовал ли он и не перевраны ли его слова, невозможно. Удобно. Единственное, что мы знаем об этом человеке - что ему нельзя доверять, если он уже нарушил обещание, данное своему работодателю, вряд ли он будет более лоялен к нам.
Hunting for malware requires highly specialized knowledge of the intricacies of the domain name system
Эмммм... ну какбы да, хотя это далеко не первое и главное знание. Это как сказать "автомеханику нужны глубокие знания о закручивании гаек". В принципе да, гаек в автомобиле много, и надо их уметь закручивать, но суть работы описана не совсем адекватно.
Computer scientists have built a set of massive DNS databases, which provide fragmentary histories of communications flows, in part to create an archive of malware: a kind of catalog of the tricks bad actors have tried to pull, which often involve masquerading as legitimate actors.
Тут начинается интересное. Скорее всего, имеется в виду база адресов DNS, связанных с малвером. Тут нужно немного пояснить, как работают ботнеты. Т.е. они по-разному работают, и я не претендую на глубокие знания в этом вопросе, это одна из известных мне моделей.
Сам по себе заражённый комп довольно бесполезен, ему надо отдавать команды. Для этого там должно где-нибудь быть написано, куда за командами ходить (опять же, не обязательно, есть другие способы, одна из моделей!). Однако если просто прописать "ходить вот сюда", то это опасно - вдруг этот сервер закроют? Или взломают конкуренты? Или полиция просечёт, с каким адресом много заражённых компов говорит, и арестует сервер? Нужно, чтобы адрес менялся. Но если он меняется, как его узнать? Для этого и есть DNS. Причём не просто фиксированный DNS, как www.google.com, а динамически меняющийся. Как конкретно - это опять же везде по разному, тут я очень по верхам знаю. Но идея понятная - у каждого извода malware будет какой-то алгоритм, как найти Центр, из которого получать команды, и если собрать базу этих адресов, алгоритм можно вычислить, опеределить, где этот Центр сейчас и где будет в дальнейшем, и перехватить, скажем, управление.
These databases can give a useful, though far from comprehensive, snapshot of traffic across the internet.
Тут наполовину фигня - действительно, DNS некоторым образом намекает, кто с кем собирается разговаривать, но сам по себе является лишь микроскопической долей трафика и вовсе не обязательно вообще в разговоре участвует. Однако если речь идёт о malware, то их трафик, исключая то время, когда они осуществляют DDOS - микроскопический, а остальной трафик непонятно, зачем был бы нужен malware hunters.
Some of the most trusted DNS specialists—an elite group of malware hunters, who work for private contractors—have access to nearly comprehensive logs of communication between servers. They work in close concert with internet service providers, the networks through which most of us connect to the internet, and the ones that are most vulnerable to massive attacks.
Вау. Вот это настоящая сенсация, кроме шуток. Т.е. какие-то "элитные группы" имеют доступ к полным логам DNS-трафика интернет провайдеров и хранят их на долговременной основе? Это же тот самый вопрос, по которому до сих пор копья ломают, можно ли NSA это делать. А тут оказывается, что какой-то хер с горы в в каком-то университете или частной компании получает это всё без всякого Конгресса и суда, получает самую приватнейшую информацию без всякого контроля и уведомления пользователей. Но не просто получает, а болтает об этом с журналистами!
Есть, конечно, и ещё один вариант - журналист просто не понял, что ему сказали, и написал фигню. Как отличить варианты, я не знаю.
Я подозреваю, что речь всё-таки идёт о логах DNS запросов - даже это довольно серьёзное нарушение приватности, но если это действительно "comprehensive logs of communication", это уже масштабы NSA. Впрочем, я не очень представляю, кто, кроме NSA, имеет ресурсы писать весь трафик, не говоря уж о том, что большинство этого трафика сейчас зашифровано, а следовательно, нормальным людям - не NSA - бесполезно. Так что далее будем считать, что речь идёт только о DNS.
They are entrusted with something close to a complete record of all the servers of the world connecting with one another.
Это опять же намекает на полные логи всего трафика, но я в это не верю, журналист, скорее всего, лепит ерунду.
“I have an outlier here that connects to Russia in a strange way,” he wrote in his notes. He couldn’t quite figure it out at first. But what he saw was a bank in Moscow that kept irregularly pinging a server registered to the Trump Organization on Fifth Avenue.
Тут что-то не складывается - так соединение инициировалось из России или в Россию?
Впрочем, если речь идёт о malware - что вполне возможно, сервера со словом trump в домене ничем не лучше других, то это неважно - это может значить, что один из серверов под этим доменом поймал бяку и пытается теперь получать указания из центра в России. Гипотеза вполне рабочая, посмотрим, что получится.
More data was needed, so he began carefully keeping logs of the Trump server’s DNS activity
Трампу - точнее, конечно, одному из 9000 его бизнесов - похоже, пора менять провайдера - получается, что какие-то люди могут невозбранно писать его трафик просто потому, что им стало интересно? Я не знаю, уместен ли уже разговор о wiretapping, но разговор о нарушении приватности налицо. Тем более когда сегодня ему интересно, а завтра он уже сливает это в партийную прессу.
As he collected the logs, he would circulate them in periodic batches to colleagues in the cybersecurity world.
Хуясе. Мало того, что он чужой трафик пишет без разрешения, он ещё и друзьям его показывает? Тут или журналист что-то упускает, или у этих ребят что-то серьёзно проблематично с этикой.
I communicated extensively with Tea Leaves and two of his closest collaborators, who also spoke with me on the condition of anonymity, since they work for firms trusted by corporations and law enforcement to analyze sensitive data.
Перевод: люди доверяют нам самые приватные данные, мы срать хотели на правила этичного обращения с этими данными, но если узнают, кто мы, то нас за это уволят нахер, поэтому мы анонимны. Отличненько.
The researchers quickly dismissed their initial fear that the logs represented a malware attack. The communication wasn’t the work of bots.
OK, идея понятна. Думали, трафик принадлежит ботнету, но оказалось не похоже. Бывает. Тут наша задача как malware hunter закончилась, и на этом закончилась и история. Ага, хрена с два, тут-то всё и началось!
The irregular pattern of server lookups actually resembled the pattern of human conversation
LOLWUT? Зачем для человеческой беседы нужны постоянные запросы DNS, тем более об одном и том же сервере? Для этого достаточно одного запроса. О чём речь, непонятно, но сыглядит ерундой.
conversations that began during office hours in New York and continued during office hours in Moscow
Серверы, как известно, могут работать только в официальные офисные рабочие часы. В остальное время они отключаются от сети и спят.
Но мало того, офисные часы в Москве наступают раньше таковых в Нью-Йорке, поэтому continued должно быть в другую сторону - сначала офисные часы начинаются в Москве, а потом продолжаются в Нью-Йорке. Я понимаю, что журналист явно не специалист в IT, но где находится Москва, он может выяснить? В другую сторону не работает - там дырка, офисные часы заканчиваются в Нью-Йорке, а в Москве ещё ночь. Так что если они намекают, что это был какой-то бизнес, то тогда он должен быть выглядеть наоборот.
Это, конечно, мелочь - но там всё так. Это мелочь, понятная даже непрофессионалу.
The researchers had initially stumbled in their diagnosis because of the odd configuration of Trump’s server.
Тут мы наконец выяснили, что это за сервер, точнее, что это за домен: trump-email.com. Это сервер, который маркетинговые организации трамповских бизнесов использовали для рассылки своего спама.
But now this capacious server handled a strangely small load of traffic, such a small load that it would be hard for a company to justify the expense and trouble it would take to maintain it. “I get more mail in a day than the server handled,” Davis says.
Заметим, что эти люди уже каким-то образом получили доступ - по словам журналистов - не только к спецификациям сервера, но и к данным о его трафике - в частности, количестве писем, через него проходящих. Что вообще говоря опять же приватная информация, но кто вам считает? Интересно, однако, узнать бы - как именно они получили такой доступ?
That wasn’t the only oddity. When the researchers pinged the server, they received error messages. They concluded that the server was set to accept only incoming communication from a very small handful of IP addresses.
Перевод: на сервере есть файрвол и контроль доступа к мейл-серверу. Для людей, понимающих о чём речь, повторяю: на сервере, подключённом к публичному интернету, есть файрвол и контроль доступа, и это нам предлагается считать очень странным, буквально зловещим. В обычных условиях я бы уже прекратил читать после этого, но in for a dime, in for a dollar.
A small portion of the logs showed communication with a server belonging to Michigan-based Spectrum Health.
Каких, интересно, logs? Они взломали этот сервер, или это логи, которые им ISP слило? В любом случае, напомню, что речь идёт о мейл-сервере, рассылающем маркетинговые коммуникации. Т.е. кто-то из Мичигана купил что-то в одном из бизнесов Трампа, и теперь маркетинг шлёт ему мейлы. Невиданое дело, а?
While we did find a small number of incoming spam marketing emails, they originated from a digital marketing company, Cendyn, advertising Trump Hotels.
Итак, Трамп замешан в том, что отель, носящий его имя, рекламируется по электронной почте. Cendyn - это, кстати, на кого и домены зарегистрированы, насколько я понял. DNS, правда, не совсем понятно чей, не разбирался.
Spectrum accounted for a relatively trivial portion of the traffic. Eighty-seven percent of the DNS lookups involved the two Alfa Bank servers.
ОК, какие серверы альфа-банка? Тоже, небось, почтовые? Итого, мы имеем, что кто-то слал письма через спам-сервер trump-email.com - который, как мы уже видели, сдаётся в аренду третьим лицам - куда-то в Альфа-Банк. Хм, ну и? Хотелось бы чего поинтереснее.
“It’s pretty clear that it’s not an open mail server,” Camp told me. “These organizations are communicating in a way designed to block other people out.”
Только идиот в современном интернете имеет open mail server. Camp профессионал, она не может этого не знать. WTF?
Earlier this month, the group of computer scientists passed the logs to Paul Vixie.
After studying the logs, he concluded, “The parties were communicating in a secretive fashion. The operative word is secretive. This is more akin to what criminal syndicates do if they are putting together a project.”
WTF? Каким образом можно из DNS-трафика сделать такой вывод? И с каких пор секретные коммуникации - признак криминала?
Вообще участие Vixie в этой лавочке неясно - с одной стороны, я к нему испытываю глубокое профессиональное уважение, с другой - судя по фейсбуку, он ярый анти-Трамповец. Неужели настолько, что его политика превозмогла и рассудок? Или всё-таки журналист врёт?
Put differently, the logs suggested that Trump and Alfa had configured something like a digital hotline connecting the two entities,
Через DNS???? Нет, конечно, можно делать covert channel таким образом, даже наверное эффективно, но реально делают это только в одно случае - для секретной эксфильтрации информации. Иными словами - malware и шпионаж. Если это не malware, то тогда это выглядит бредом. Для любой тайной цели можно просто сделать VPN, который вообще ни в каких DNS не нуждается. Какая-то ерунда выходит. Сапоги всмятку.
shutting out the rest of the world, and designed to obscure its own existence.
Да он упоротый. Все защищённые коммуникации в интернете так устроены, и все сервера ведут себя именно так. И, конечно, назвать его trump-email.com - это офигенный способ зашифроваться. Скоро они обнаружат, что у Трампа ещё есть тайная сеть отелей и казино...
The sweeping nature of Trump’s claim, however, prodded the scientists to dig deeper. They were increasingly confident that they were observing data that contradicted Trump’s claims.
Погодите, т.е. эти "учёные", вместо того, чтобы заниматься своей оригинальной задачей - безопасностью коммуникаций и охотой за malware - теперь начали копать исключительно с целью опровергнуть слова Трампа? И с этой целью они всё ещё имели доступ к логам трафика как минимум ISP Трампа, и возможно многих других, и активно использовали эти логи с этой целью? Я понимаю, что про этику мы уже давно забыли, но по-моему, тут мы вступаем на почву УК уже. Это то, на чём ребята в Вотергейте погорели, нет? Подслушивание коммуникаций политических противников с целью навредить их кампании?
Однако чем же занимались эти серверы?
I think mail is more likely, because it’s going to a machine running a mail server and [the host] is called mail.
Ну, что я говорил? Я ещё досюда не дочитал, когда написал про мейлсерверы. Итого мы имеем преступный синдикат из двух мейл-серверов. The plot thickens.
“I can't attest to the logs themselves,” he told me, “but assuming they are legitimate they do indicate effectively human-level communication.”
Опять же не понимаю, как такой вывод можно сделать из логов DNS и чем отличается human-level communication от inhuman-level.
Тут я начал искать, о каких логах идёт речь, и, судя по всему, этот самый tea leaves - напомню, по словам журналистов, человек, которому корпорации и правоохранители доверяют наиприватнейшую информацию - эти логи вывесил в публичный доступ.
Я также понял, какое утверждение оригинально делалось насчёт этих логов - что Альфа-Банк - точнее, какой-то сервер в сети Альфабанка - имеет доступ к мейл-серверу trump-email.com и пользовался им для коммуникаций. Поскольку это не открытый сервер (так вот зачем дураку-журналисту это обьясняли), то это намекает на некий эксклюзивный доступ. Т.е. не исключено, что кто-то в АБ - или кто-то, кому сдают в аренду сервер в том же диапазоне адресов - тоже спамил через этот сервер.
Дальше там много фигни не по делу, её я пропускаю, и обратно к заговору мейлсерверов:
The Times hadn’t yet been in touch with the Trump campaign—Lichtblau spoke with the campaign a week later—but shortly after it reached out to Alfa, the Trump domain name in question seemed to suddenly stop working.
Это интересная подробность, означающая, что, по-видимому, кто-то на стороне АБ знал об этом сервере, и для чего-то его использовали, однако решили перенести на другой домен. Не исключено, что потому, что "такой большой сервер" (см. выше) им больше не нужен, о нём забыли, но теперь им об этом напомнили.
Four days later, on Sept. 27, the Trump Organization created a new host name, trump1.contact-client.com, which enabled communication to the very same server via a different route.
Я хотел бы знать, как они узнали, что это very same server, но если Трамп действительно намеревался вести тайные дела с Альфабанком (и почему-то для этого ему обязательно нужен отдельный сервер), то он, конечно, не нашёл ничего лучшего, как назвать его trump1. Для скрытности.
The first attempt to look up the revised host name came from Alfa Bank.
Опять же, интересно, как они это узнали? Однако, ладно - это интересный факт, по крайней мере, намекает, что между этими двумя серверами есть какая-то связь.
Soon after the New York Times began to ask questions, the traffic between the servers stopped cold.
Однако ровно ни для чего эту связь не использовали. А почему DNS?
Ну вот например поэтому:
Mandiant is still doing its deep dive into the Alfa Bank systems. Its leading theory is that Alfa Bank's servers may have been responding with common DNS look ups to spam sent to it by a marketing server. But it doesn't want to speak on the record until it's finished its investigation.
Но журналиста не так-то просто сбить с линии!
Furthermore, there’s no such thing as “regular” DNS server traffic, at least not according to the computer scientists I consulted. The very reason DNS exists is to enable email and other means of communication
Это идиотское заявление, понятно, что DNS используется для мейла, однако это совсем не значит, что DNS используется *только* для мейла - источников запросов по DNS может быть множество. К сожалению, scientists не смогли, видимо, обьяснить этого партийному журналисту.
What the scientists amassed wasn’t a smoking gun. It’s a suggestive body of evidence that doesn’t absolutely preclude alternative explanations.
Иными словами, есть некие данные, которые можно обьяснить сотней способов, и партийный журналист попытался по-быстрому сварганить из этого сенсацию и хоть как-то связать Трампа с Россией. Получилось полное говно. Резюме последует.
Tags: