redacted draft

[stas]

US Govt's Entire Russia-DNC Hacking Narrative Based On Redacted Draft Of Crowdstrike Report

Мне вся эта история с атрибуцией хакинга с самого начала не очень нравилась. Типа все 1024 агентства дружно согласны, что это русские, но доказательств никаких.

Ну ладно, подумал я, наверное мне доказательства не доверяют, может там какие-то Venona Files, но сами-то 1024 агентства их видели?
Нет, не видели. 

Как так? Но как-то они решение приняли? На основании чего?
На основании отчёта Crowdstrike.

Ну да, прочитали тщательно этот отчёт обо всём, разобрались и решили...
Нет, окончательного отчёта они не читали, его им не дали.

Ну хорошо, но что-то же они читали? Самую подробную информацию им Crowdstrike предоставил, чтобы решить?
Им предоставили отредактированную промежуточную версию отчёта.

Погодите, нам тут говорят, что для понимания полной картины происходящего всегда нужна полная версия, даже если дело касается таких вещей, как секретность grand jury, которую закон прямо запрещает раскрывать, или секретов, касающихся национальной безопасности. Но если уж кому можно доверить такие секреты, так это тем самым спецслужбам, которые их призваны охранять?
Тем не менее, детали того, в чём состояла атака, как она была проведена и какие меры были приняты, чтобы предотвратить дальнейшие атаки, спецслужбам США, расследующим эту атаку, доверены не были. 

Атрибуция взломов - дело вообще непростое. Но когда атрибуция проводится по отредактированному драфту отчёта частной фирмы, нанятой клиентом, который заинтересован в одном и только одном исходе этой атрибуции - и именно этот исход оказывается на выходе, причём абсолютно никто, сверху до низу, не жалуется на недостаточный доступ к информации и не требует предоставить им дополнительные материалы - то тут уместно вспомнить выражение stinks to high heaven. 
Я понятие не имею, кто взломал DNC - возможно, и вправду русские, почему бы и нет. Но в том, что техническая атрибуция была в этом случае подменена политической, я практически уверен. 

Comments

[leo_sosnine]

Скорее всего никто не взломал. Постановка и грубая. Документы же были слиты инсайдером.

http://g-2.space/

[stas]

Тоже возможно. Хз. Когда мне нихрена не понятно, я не побоюсь сказать, что нихрена не понятно. А вот то, что история с однозначной атрибуцией воняет - это как раз вполне понятно.

[leo_sosnine]

Да, это понятно.

Один штрих с которым я разобрался, там не только КраудСтрайк, три фирмы (все дефенс контракторы, ггг) подтвердили репорт КраудСтрайка. Это ФайрАй и ТхреатКоннект.

В своём репорте ТхреатКоннект утверждает, что проанализированный имейл, имеющий отношение к Гуцциферу, который по их мнению на самом деле русская спецслужба, пришёл с такого-то хоста, т.к. имейл имеет DKIM подпись.

Проблема в том, что RFC header "Received:", как правило, НЕ подписывается, т.к. он динамичен и пополняется на каждом рилее через который проходит письмо, поэтому он специально исключается из подписи. Следовательно, утверждение о том, что достоверно то, что имейл пришёл с такого-то хоста и никто не манипулировал им в процессе в неподписанных хедерах, неверно.

Основываясь на этом я вполне доверяю скептикам и вполне не доверяю КраудСтрайк (помимо прочего, всей вонизме связанной с демократами в последние годы, отозванной аттрибуции КраудСтрайком в деле об украинских гаубицах и т.д.).

[yankel]

А история с осуждением полка офицеров ГРУ с подробностями уровня "учил shell"?

[stas]

Ну там всё б-м понятно - надо же кого-то осудить, и вот как раз так, чтобы не было шанса, что в суде какой-нибудь мерзавец-адвокатишко задаст неприятные вопросы.

[1master]

Я замечу, что краудстрайк этим делом в профессиональной среде себе сильно репутацию подмочил.

[stas]

Да это не единственное их выступление было, с украинской артиллерией они тоже обкакались. Но акции их растут, как на дрожжах - видимо, бизнес корпоративного прикрытия задницы и расследований с заранее известным результатом приносит неплохой доход.

[yankel]

Слушай, они же глубоко у клинтонов в жопе были.
Ты видел, статью, как клинтоновский адвокат с этой публикой общался?

https://www.cnsnews.com/news/article/michael-w-chapman/judicial-watch-new-emails-show-fbi-gave-special-treatment-clintons

In an Aug. 16, 2016 email, obtained by Judicial Watch, then-FBI General Counsel James Baker contacted Lisa Page and other top FBI officials stating that he "just spoke" with Clinton lawyer David Kendall, who was requesting documents from the FBI about their investigation of Clinton. Baker tells the people cc'd on the email that he told Kendall, "we would process it expeditiously."

"I just spoke with David Kendall," Baker wrote. "I conveyed our view that in order to obtain the documents [FBI investigative material] they are seeking they need to submit a request pursuant to the Privacy Act and FOIA. I said they could submit a letter to me covering both statutes. They will send it in the morning."

Это те самые суки, из которых Judicial Watch и Нунес каждую бумажку месяцами выдирают.

[yury]

Охренеть можно, в какой банановой республике мы живём. И чем дальше, тем, оказывается, банановее.

[yankel]

Причем до этого докопались адвокаты Роджера Струна. Наших конгрессменов это не колыхало. И сейчас не колышет.

[stas]

Да, они как услышали, что 1024 агентства согласны, что это русские - так сразу и заткнулись. Притом это те же самые агентства, под руководством тех же самых людей, что буквально у них на глазах собирались устроить госпереворот - и не, ничего.

[gonchar]

Не понимал и не понимаю, как ТЕОРЕТИЧЕСКИ можно вычислить, кто взломал, при помощи ТОЛЬКО техники.

Поясню.

Теоретический (!) максимум того, что может выяснить техника, это что пакеты шли с такого-то компьютера Икс. Но невозможно быть уверенным в том, что за этим компьютером сидел человек (вариант А) - а не этот компьютер был взломан и управлялся с другого конца Земли (вариант В). Подчеркну - это теоретически невозможно.

Единственным способом, который позволит сделать выбор между вариантом А и вариантом В - это ФИЗИЧЕСКИЙ доступ к компьютеру Икс.
Но физического доступа к "ольгинским серверам" у спецслужб США вроде не было?

Поэтому можно подозревать, предполагать, считать для себя наиболее вероятным и действовать, исходя из этого - что угодно, но нельзя СЧИТАТЬ ДОКАЗАННЫМ именно вариант А. Совершенно независимо от политики, естественно.

[stas]

Если не углубляться в философские рассуждения о том "как мы знаем, что мы что-то знаем", то атрибуция основывается в основном на том, откуда был доступ и каким образом был доступ, и у кого оказались потом данные. В некоторых случаях дело простое - если кого-то поймали с базой кредиток, и был доступ с его IP к серверу кредитной компании - пожалте посидеть. В некоторых случаях посложнее - почитайте, как ловили LulzSec и создателя Silk Road.

Вариант при котором "марсиане взломали (условное) ГРУ" и оттуда уже через них взломали DNC, теоретически, конечно, возможен, но на практике его вероятность на порядки ниже естественного варианта "серверы ГРУ принадлежат и управляются ГРУ. Полную гарантию даёт только ясновидение, а вот между теориями событий с различной вероятностью нам приходится выбирать каждый день, ничего странного в этом нет. Когда некую мутную личность спрашивают, откуда у неё в кармане чужой кошелёк, и она заявляет - "понятия не имею, случайно упал туда, наверное" - то теоретически, есть вероятность, что это действительно так. Практически же никого из нас не затруднит понять, в чём суть ситуации и какой следует сделать вывод.

В случае же аттрибуции взлома DNC сделать вывод с высокой вероятностью пока возможным не представляется, зато с высокой вероятностью можно сделать вывод, что заявление группы товарищей об этой атрибуции - шаг, продиктованный чисто политическими соображениями.

[gonchar]

Извините, не могу согласиться. И это не экспромт для спора, а моё давнее убеждение (чисто рассудочное).

Поясню.

Примеры с кредитками и кошельком разумны, но они, к сожалению, неприложимы к данным обстоятельствам, отличающимся от примеров принципиально важной особенностью.

А именно, в этих примерах имеется совокупность противостояний и сотрудничеств множества тайных организаций из разных стран, организаций, в частности, очень-очень мощных. Например, гигантской мощью обладают такие организации, как ГРУ, Ватикан, ЦРУ. И мы очень смутно представляем структуру и мощь, например, "дип стейт" или каких-нибудь международных организаций "левого" толка.

И мы знаем, что эти организации "заточены" под тайные операции, обман, нарушение законов (пусть какие-то и декларируют, что только чужих стран - но нам-то от этого не легче), провокации и т.п.

В этих условиях факт "Икса поймали с кошельком Игрека" доказывает только два факта:
1) некая организация утверждает, что поймала Икса в баре
2) она же утверждает, что у Икса был кошелёк Игрека
Реальность же может быть сколь угодно далека от этих утверждений.
Тем более нельзя делать вывод в духе "а раз Икс служит в Орге, то значит, Орга ... и так далее".

К сожалению.

Мне это не нравится, но я считаю, что такова реальность. Рассматривать такие штуки всерьёз и делать какие-то выводы можно лишь в исключительных случаях. Например, типа мещков в подвале Рязани - потому что там в процесс в крайне удачном месте в крайне удачное время вмешались совершенно "обычные" люди. И то, в том деле есть принципиальные неясности.

А уж в случае с хакнутыми серверами и т.п. - увы и ах.

[cjelli]

У меня был в институте случай. Дал попользоваться приятелю своим юникс-счетом, а он с него, видимо, начал хулиганить. Вызывают меня на ковер.
- Зачем ты пытался влезть в сервера А, Б, В?
- Я не пытался.
- Вот лог
- Что значит лог?
- В субботу в 10 вечера кто-то туда пытался залезть с сервера Г.
- И?
- А в этот момент на сервере Г был только ты залогинен.
- Я не знаю, кто там был залогинен, но в субботу в 10 вечера я пьянствовал в компании еще десяти человек и могу их привести это подтвердить.
- А кто ж тогда под твоим логином сидел?
- Не знаю, выясняйте.

Отпустили, что поделать.

[stas]

По-хорошему, чей счёт, тот и отвечать должен. А за "дал попользоваться" обычно наказывают отдельным пунктом. Так что повезло в данном случае.

[merig00]

ну примерно то-же самое с "фото" штрафами. наказывают только деньгами ибо доказать кто в машине сидел слишком сложно.

[alex_shishkin]

Не столько комментарий, сколько вопрос. :-)

Несколько месяцев назад мне попадалось пару раз заявление, что CrowdStrike сделал с обсуждаемых серверов Демпартии некий "цифровой слепок", и что эта информация как раз была предоставлена всем заинтересованным службам, включая ФБР, в полном объёме. И что это - вообще стандартная процедура в таких расследованиях, после которой физический доступ к "расследуемому" компьютеру уже не нужен.

Преподносилось это как "правые вам врут, вся необходимая для расследования информация была передана ФБР".

Я сам ни разу не сварщик :-), и как инженер-механик с очень поверхностными чайниковыми знаниями об обсуждаемом оценить степень достоверности утверждения не могу. Сейчас попробовал поискать те тексты - что-то сходу не нашёл.

1. О чём, хотя бы теоретически, тут могла идти речь? О том, что CrowdStrike сделал disk image и передал его всем, "кому положено"? Или о какой-то более эзотерической процедуре? Или это вообще пустая болтовня?

2. Действительно ли disk image (или что это могло быть) в таком расследовании будет эквивалентен доступу к живому компьютеру?

3. Попадались ли кому-либо официальные заявления на эту тему? Я смутно помню, что то, что читал я, ссылки на заявления официальных лиц не содержало - но с уверенностью даже этого сейчас сказать не могу.

[stas]

1. Могла идти речь об этом, но DOJ утверждает, как я понял, что этого не произошло.

2. Не совсем, но для большинства целей достаточно.

3. Я вижу упоминания отчётов Crowdstrike, а никаких упоминаний самостоятельных результатов расследования ФБР не вижу. Тут два варианта - либо ФБР произвело такое расследование, но почему-то никто и никогда о нём не упоминает, а говорит только о расследовании Crowdstrike, что было бы странно, либо ФБР такого расследования не производило, а положилось на результаты Crowdstrike. Если последнее верно, то допустить, что ФБР получило нужный доступ, но почему-то решило ничего не делать - ещё страннее, чем если они его не получили, тут же возникает вопрос - почему ничего не было расследовано? Кто принял такое решение и почему?

[leo_sosnine]

1. Перед началом любой форенсики делают две копии с оригинала, одну кладут в сейф, с другой работают. Речь вполне возможно шла о таких копиях.

2. При условии, что также были сняты дампы памяти и сохранна chain of custody -- да. Дамп памяти и копия диска -- это аналог. В этом случае мы не доверяем chain of custody, где гарантия, что эта копия не снята с фейковой машины, которую специально заразили малварью и подделали чтобы она выглядела как машина ДНЦ,

[yankel]

А там вообще обнаружили мейлвейр, или на серверы зашли один раз, дампнули все емэилы и все? Любопытно, что вообще тогда можно найти в логах, кроме факта логина в систему?

[silugram]

Ну да. Я в то время ещё был наивным, пытался что-то доказать американским ватникам в Фейсбуке. Когда ватники мне долдонили про консенсус всех 100500 of intelligence community, я у них спрашивал "а что - каждый из этих 100500 провел свое независимое расследование и вот результаты магически сошлись ?". Ну ответ понятно был "ах так ты deny способности наших доблестных органов?" Вот казалось бы - в свободной стране родились и выросли, а такой замшелый совок в башке ..

Я, кстати, тогда не поленился, прочел полностью открытые документы и честно не понял на основании чего они сделали свои выводы. Что типа группа называется Fancy Bear ? А вот назови группу Pink Panda так они бы стали китайцами ? Или что в московском timezone работали ? Блять, ну какой же это детский сад, рассчитанный на идиотов типа Якова-Джеркова.

[yankel]

Ну да. Из того, что я понял, линки в фишинговых меилах вели на сайты, которые использовали раньше группы Fancy Bears и Ко, которые, как считается, работали на русских или были сами русскими. Мне как то трудно считать это неопроверживым доказательством. Но для Яши и Ко сойдет.

[stas]

Fancy Bear - это, как я понимаю, не самоназвание, а кличка, придуманная CrowdStrike, именно потому, что они думают, что это российская разведка. Почему они так думают и откуда известно, что это одна группа, я не очень в курсе. Но вся атрибуция, похоже, от них и ещё от FireEye - каковая компания известна тем, что на их последней конференции по безопасности в октябре 2019 keynote speaker будет Хиллари Клинтон. Так что какому проценту их сведений можно доверять и насколько они в кармане у deep state, мне неизвестно, но постановка вопроса выглядит уместно, уж кем-кем, а "честными аполитичными профессионалами" они не являются.

[silugram]

У меня сложилось похожее мнение. Они fancy bear потому что кто-то как-то и почему-то решил что они русские , а прохакали выборы русские потому что это Fancy Bear. Все сходится, science is settled.