redacted draft

[stas]

US Govt's Entire Russia-DNC Hacking Narrative Based On Redacted Draft Of Crowdstrike Report

Мне вся эта история с атрибуцией хакинга с самого начала не очень нравилась. Типа все 1024 агентства дружно согласны, что это русские, но доказательств никаких.

Ну ладно, подумал я, наверное мне доказательства не доверяют, может там какие-то Venona Files, но сами-то 1024 агентства их видели?
Нет, не видели. 

Как так? Но как-то они решение приняли? На основании чего?
На основании отчёта Crowdstrike.

Ну да, прочитали тщательно этот отчёт обо всём, разобрались и решили...
Нет, окончательного отчёта они не читали, его им не дали.

Ну хорошо, но что-то же они читали? Самую подробную информацию им Crowdstrike предоставил, чтобы решить?
Им предоставили отредактированную промежуточную версию отчёта.

Погодите, нам тут говорят, что для понимания полной картины происходящего всегда нужна полная версия, даже если дело касается таких вещей, как секретность grand jury, которую закон прямо запрещает раскрывать, или секретов, касающихся национальной безопасности. Но если уж кому можно доверить такие секреты, так это тем самым спецслужбам, которые их призваны охранять?
Тем не менее, детали того, в чём состояла атака, как она была проведена и какие меры были приняты, чтобы предотвратить дальнейшие атаки, спецслужбам США, расследующим эту атаку, доверены не были. 

Атрибуция взломов - дело вообще непростое. Но когда атрибуция проводится по отредактированному драфту отчёта частной фирмы, нанятой клиентом, который заинтересован в одном и только одном исходе этой атрибуции - и именно этот исход оказывается на выходе, причём абсолютно никто, сверху до низу, не жалуется на недостаточный доступ к информации и не требует предоставить им дополнительные материалы - то тут уместно вспомнить выражение stinks to high heaven. 
Я понятие не имею, кто взломал DNC - возможно, и вправду русские, почему бы и нет. Но в том, что техническая атрибуция была в этом случае подменена политической, я практически уверен. 

Comments

[leo_sosnine]

Скорее всего никто не взломал. Постановка и грубая. Документы же были слиты инсайдером.

http://g-2.space/

[stas]

Тоже возможно. Хз. Когда мне нихрена не понятно, я не побоюсь сказать, что нихрена не понятно. А вот то, что история с однозначной атрибуцией воняет - это как раз вполне понятно.

[leo_sosnine]

Да, это понятно.

Один штрих с которым я разобрался, там не только КраудСтрайк, три фирмы (все дефенс контракторы, ггг) подтвердили репорт КраудСтрайка. Это ФайрАй и ТхреатКоннект.

В своём репорте ТхреатКоннект утверждает, что проанализированный имейл, имеющий отношение к Гуцциферу, который по их мнению на самом деле русская спецслужба, пришёл с такого-то хоста, т.к. имейл имеет DKIM подпись.

Проблема в том, что RFC header "Received:", как правило, НЕ подписывается, т.к. он динамичен и пополняется на каждом рилее через который проходит письмо, поэтому он специально исключается из подписи. Следовательно, утверждение о том, что достоверно то, что имейл пришёл с такого-то хоста и никто не манипулировал им в процессе в неподписанных хедерах, неверно.

Основываясь на этом я вполне доверяю скептикам и вполне не доверяю КраудСтрайк (помимо прочего, всей вонизме связанной с демократами в последние годы, отозванной аттрибуции КраудСтрайком в деле об украинских гаубицах и т.д.).

[yankel]

Слушай, они же глубоко у клинтонов в жопе были.
Ты видел, статью, как клинтоновский адвокат с этой публикой общался?

https://www.cnsnews.com/news/article/michael-w-chapman/judicial-watch-new-emails-show-fbi-gave-special-treatment-clintons

In an Aug. 16, 2016 email, obtained by Judicial Watch, then-FBI General Counsel James Baker contacted Lisa Page and other top FBI officials stating that he "just spoke" with Clinton lawyer David Kendall, who was requesting documents from the FBI about their investigation of Clinton. Baker tells the people cc'd on the email that he told Kendall, "we would process it expeditiously."

"I just spoke with David Kendall," Baker wrote. "I conveyed our view that in order to obtain the documents [FBI investigative material] they are seeking they need to submit a request pursuant to the Privacy Act and FOIA. I said they could submit a letter to me covering both statutes. They will send it in the morning."

Это те самые суки, из которых Judicial Watch и Нунес каждую бумажку месяцами выдирают.

[yankel]

А история с осуждением полка офицеров ГРУ с подробностями уровня "учил shell"?

[stas]

Ну там всё б-м понятно - надо же кого-то осудить, и вот как раз так, чтобы не было шанса, что в суде какой-нибудь мерзавец-адвокатишко задаст неприятные вопросы.

[yury]

Охренеть можно, в какой банановой республике мы живём. И чем дальше, тем, оказывается, банановее.

[yankel]

Причем до этого докопались адвокаты Роджера Струна. Наших конгрессменов это не колыхало. И сейчас не колышет.

[stas]

Да, они как услышали, что 1024 агентства согласны, что это русские - так сразу и заткнулись. Притом это те же самые агентства, под руководством тех же самых людей, что буквально у них на глазах собирались устроить госпереворот - и не, ничего.

[1master]

Я замечу, что краудстрайк этим делом в профессиональной среде себе сильно репутацию подмочил.

[stas]

Да это не единственное их выступление было, с украинской артиллерией они тоже обкакались. Но акции их растут, как на дрожжах - видимо, бизнес корпоративного прикрытия задницы и расследований с заранее известным результатом приносит неплохой доход.

[gonchar]

Не понимал и не понимаю, как ТЕОРЕТИЧЕСКИ можно вычислить, кто взломал, при помощи ТОЛЬКО техники.

Поясню.

Теоретический (!) максимум того, что может выяснить техника, это что пакеты шли с такого-то компьютера Икс. Но невозможно быть уверенным в том, что за этим компьютером сидел человек (вариант А) - а не этот компьютер был взломан и управлялся с другого конца Земли (вариант В). Подчеркну - это теоретически невозможно.

Единственным способом, который позволит сделать выбор между вариантом А и вариантом В - это ФИЗИЧЕСКИЙ доступ к компьютеру Икс.
Но физического доступа к "ольгинским серверам" у спецслужб США вроде не было?

Поэтому можно подозревать, предполагать, считать для себя наиболее вероятным и действовать, исходя из этого - что угодно, но нельзя СЧИТАТЬ ДОКАЗАННЫМ именно вариант А. Совершенно независимо от политики, естественно.

[1master]

Растут всю неделю после IPO? Это смех, а не рост, ни институциональные инвесторы, ни сотрудники даже выйти пока не могут, посмотрим, что с ними через полгода будет, когда торговать разрешат.

[stas]

А, я невнимательно прочитал, мне казалось, что IPО было раньше. Так-то конечно, ни о чём не говорит.

[stas]

Если не углубляться в философские рассуждения о том "как мы знаем, что мы что-то знаем", то атрибуция основывается в основном на том, откуда был доступ и каким образом был доступ, и у кого оказались потом данные. В некоторых случаях дело простое - если кого-то поймали с базой кредиток, и был доступ с его IP к серверу кредитной компании - пожалте посидеть. В некоторых случаях посложнее - почитайте, как ловили LulzSec и создателя Silk Road.

Вариант при котором "марсиане взломали (условное) ГРУ" и оттуда уже через них взломали DNC, теоретически, конечно, возможен, но на практике его вероятность на порядки ниже естественного варианта "серверы ГРУ принадлежат и управляются ГРУ. Полную гарантию даёт только ясновидение, а вот между теориями событий с различной вероятностью нам приходится выбирать каждый день, ничего странного в этом нет. Когда некую мутную личность спрашивают, откуда у неё в кармане чужой кошелёк, и она заявляет - "понятия не имею, случайно упал туда, наверное" - то теоретически, есть вероятность, что это действительно так. Практически же никого из нас не затруднит понять, в чём суть ситуации и какой следует сделать вывод.

В случае же аттрибуции взлома DNC сделать вывод с высокой вероятностью пока возможным не представляется, зато с высокой вероятностью можно сделать вывод, что заявление группы товарищей об этой атрибуции - шаг, продиктованный чисто политическими соображениями.

[cjelli]

У меня был в институте случай. Дал попользоваться приятелю своим юникс-счетом, а он с него, видимо, начал хулиганить. Вызывают меня на ковер.
- Зачем ты пытался влезть в сервера А, Б, В?
- Я не пытался.
- Вот лог
- Что значит лог?
- В субботу в 10 вечера кто-то туда пытался залезть с сервера Г.
- И?
- А в этот момент на сервере Г был только ты залогинен.
- Я не знаю, кто там был залогинен, но в субботу в 10 вечера я пьянствовал в компании еще десяти человек и могу их привести это подтвердить.
- А кто ж тогда под твоим логином сидел?
- Не знаю, выясняйте.

Отпустили, что поделать.

[gonchar]

Извините, не могу согласиться. И это не экспромт для спора, а моё давнее убеждение (чисто рассудочное).

Поясню.

Примеры с кредитками и кошельком разумны, но они, к сожалению, неприложимы к данным обстоятельствам, отличающимся от примеров принципиально важной особенностью.

А именно, в этих примерах имеется совокупность противостояний и сотрудничеств множества тайных организаций из разных стран, организаций, в частности, очень-очень мощных. Например, гигантской мощью обладают такие организации, как ГРУ, Ватикан, ЦРУ. И мы очень смутно представляем структуру и мощь, например, "дип стейт" или каких-нибудь международных организаций "левого" толка.

И мы знаем, что эти организации "заточены" под тайные операции, обман, нарушение законов (пусть какие-то и декларируют, что только чужих стран - но нам-то от этого не легче), провокации и т.п.

В этих условиях факт "Икса поймали с кошельком Игрека" доказывает только два факта:
1) некая организация утверждает, что поймала Икса в баре
2) она же утверждает, что у Икса был кошелёк Игрека
Реальность же может быть сколь угодно далека от этих утверждений.
Тем более нельзя делать вывод в духе "а раз Икс служит в Орге, то значит, Орга ... и так далее".

К сожалению.

Мне это не нравится, но я считаю, что такова реальность. Рассматривать такие штуки всерьёз и делать какие-то выводы можно лишь в исключительных случаях. Например, типа мещков в подвале Рязани - потому что там в процесс в крайне удачном месте в крайне удачное время вмешались совершенно "обычные" люди. И то, в том деле есть принципиальные неясности.

А уж в случае с хакнутыми серверами и т.п. - увы и ах.

[stas]

По-хорошему, чей счёт, тот и отвечать должен. А за "дал попользоваться" обычно наказывают отдельным пунктом. Так что повезло в данном случае.

[stas]

Опять же, входить в философские рассуждения о том, что, возможно, всё, что мы знаем, мы на самом деле не знаем, а на самом деле мы мозги в банках, в которые рептилоиды с планеты Нибиру транслируют электрические сигналы - мне не очень интересно. Теоретически всё возможно, практически надо подходить практически.

И мы очень смутно представляем структуру и мощь, например, "дип стейт" или каких-нибудь международных организаций "левого" толка.

В каком смысле "смутно"? Кто конкретно когда какую пакость сделал? Ну да, не всё знаем, так это и не нужно. Атрибуцию взломов в некоторых случаях проводят вполне успешно, и ответственных успешно же сажают, в некоторых - нет. Возможно ли провести атрибуцию в данном случае - данных недостаточно, в частности, из-за политики. Рассуждения о тайных могущественных организациях тут совершенно лишние.

[gonchar]

Боже ж мой. Хреново. Вы же - умный человек, неужели я настолько хреново пишу, что выходит неясно?

Рассуждения о тайных и могущественных организациях тут как раз ключевые!
И они действительно тайные и могущественные. Тайные - потому что их деятельность и состав их штатных сотрудников и агентов - тайна, защищаемая, кстати, законом. Число этих сотрудников велико, их агенты всунуты в самые ответственные места, финансы на всё выделяются гигантские - да, эти организации очень могущественные.

Поэтому когда мы узнаём, что "с компьютеров ГРУ хакнули сервер в США, а потом украденная информация всплыла через Икса, являющегося агентом ГРУ", мы можем с практически равной вероятностью предположить как минимум две возможности:

1) это была тайная операция ГРУ; его сотрудники хакнули сервер в США и снабдили украденной информацией своего агента Икса

2) это была тайная операция спецслужбы страны УУУУУ, направленная против ГРУ; сотрудники этой спецслужбы хакнули сервер, через который компьютеры ГРУ выходят в Инет, через этот сервер под видом компьютера ГРУ хакнули сервер в США, и через своего двойного агента Икса слили информацию как бы от имени ГРУ

В том и проблема, что в подобных играх вообще ничего толком обычно не узнаешь.

=============

Отвечаю на заданные вопросы - "В каком смысле "смутно"? Кто конкретно когда какую пакость сделал?"

Ну, например, в таком. Есть некий сговор внутри госслужб США. А вот кто конкретно из РОССИЙСКИХ реально влиятельных лиц входит в этот сговор? В какой мере? С какой целью?
Хрен узнаешь наверняка.

Скажем, я по сей день считаю, что "вмешательство Трампа в выборы" было инициировано т.н. "левыми" с целью расправиться с аутсайдером-Трампом после ВЫИГРЫША выборов, когда игра в нужных госучреждениях и судах шла бы полностью по их правилам. Но выигрыша не вышло - и всё пошло наперекосяк. А так, полагаю, были бы и фальшивые свидетельства, и прочее, и прочее. И в том числе с российской стороны.

Но доказать это я не могу. Как и опровергнуть. Потому что - см. выше про мощь и тайну таких операция.

[cjelli]

В принципе да, но тут у меня алиби, а в то время по Техниону (и по Бар-Илану тоже) ходила эпидемия взломов, может ты слышал даже про новогоднюю елочку 1993/94.

Я ж не говорил им, что дал попользоваться, а с приятелем уговор был, что если что, он и мой счет взломал.

[alex_shishkin]

Не столько комментарий, сколько вопрос. :-)

Несколько месяцев назад мне попадалось пару раз заявление, что CrowdStrike сделал с обсуждаемых серверов Демпартии некий "цифровой слепок", и что эта информация как раз была предоставлена всем заинтересованным службам, включая ФБР, в полном объёме. И что это - вообще стандартная процедура в таких расследованиях, после которой физический доступ к "расследуемому" компьютеру уже не нужен.

Преподносилось это как "правые вам врут, вся необходимая для расследования информация была передана ФБР".

Я сам ни разу не сварщик :-), и как инженер-механик с очень поверхностными чайниковыми знаниями об обсуждаемом оценить степень достоверности утверждения не могу. Сейчас попробовал поискать те тексты - что-то сходу не нашёл.

1. О чём, хотя бы теоретически, тут могла идти речь? О том, что CrowdStrike сделал disk image и передал его всем, "кому положено"? Или о какой-то более эзотерической процедуре? Или это вообще пустая болтовня?

2. Действительно ли disk image (или что это могло быть) в таком расследовании будет эквивалентен доступу к живому компьютеру?

3. Попадались ли кому-либо официальные заявления на эту тему? Я смутно помню, что то, что читал я, ссылки на заявления официальных лиц не содержало - но с уверенностью даже этого сейчас сказать не могу.

[stas]

1. Могла идти речь об этом, но DOJ утверждает, как я понял, что этого не произошло.

2. Не совсем, но для большинства целей достаточно.

3. Я вижу упоминания отчётов Crowdstrike, а никаких упоминаний самостоятельных результатов расследования ФБР не вижу. Тут два варианта - либо ФБР произвело такое расследование, но почему-то никто и никогда о нём не упоминает, а говорит только о расследовании Crowdstrike, что было бы странно, либо ФБР такого расследования не производило, а положилось на результаты Crowdstrike. Если последнее верно, то допустить, что ФБР получило нужный доступ, но почему-то решило ничего не делать - ещё страннее, чем если они его не получили, тут же возникает вопрос - почему ничего не было расследовано? Кто принял такое решение и почему?

[stas]

Понимаете, если вводить в рассужение тайные могущественные организации, которые тайно и могущественно делают что угодно, то это получается вроде "почему яблоко падает на землю? - Потому что так угодно Господу!", только в нашем случае "потому что так захотели Тайные Силы". Это концепция совершенно бессмысленная - если тайные силы могут что угодно по каким угодно причинам, то тогда и обсуждать что-либо смысла нет, всё равно они тайно, непознаваемо для нас, могут захотеть что угодно и сделать что угодно.
Я этой концепции не принимаю. Да, существуют ЦРУ, ГРУ и прочие РУ. Но их мотивации познаваемы, их возможности ограничены, и в них работают в большинстве своём примерно такие же долбоёбы, как и везде. Соответственно, их действия вполне познаваемы, обсуждаемы и оцениваемы обычными людьми. Это, конечно, не значит, что в данный конкретный момент мы знаем всё - этого никогда не будет. Но это значит, что мы можем знать некоторые вещи без привлечения гипотез вроде "а может это заговор таиландских спецслужб с целью представить это заговором китайских спецслужб с целью представить, что монгольские спецслужбы подставили российские спецслужбы перед американскими спецслужбами, а те опять сговорились с таиландскими спецслужбами против японских". Более того, это значит, что привлекать эти гипотезы чаще всего бесполезно - чем сложнее гипотеза, тем быстрее падает вероятность того, что она действительно имеет отношение к реальности.
По факту, мы знаем не всё, но довольно много, о "играх" спецслужб в 20-м веке, и скорее всего рано или поздно узнаем многое о 21-м.

Есть некий сговор внутри госслужб США. А вот кто конкретно из РОССИЙСКИХ реально влиятельных лиц входит в этот сговор?

Скорее всего нисколько. По двум причинам:
а) ни один вменяемый американский заговорщик не станет полагаться на российское влиятельное лицо в своём заговоре. Использовать втёмную - легко, доверять - никогда в жизни.
б) российские влиятельные лица чудовищно невежественны в американской политике, и зачастую даже неспособны понять, как работают самые базисные механизмы американского общества. Ожидать, что они способны участвовать в сложном заговоре внутри госслужб США, никаким образом невозможно. Их потолок как раз то, что открылось - публикация тупых мемасиков на фейсбуке (предварительно, разумеется, разворовав 90% отведённого на это бюджета) и вброс компромата с целью поссорить всех со всеми. То, что в данном случае эта стратегия произвела ощутимый эффект на американскую политику - не заслуга русских, а симптом болезни этой политики.

[silugram]

Ну да. Я в то время ещё был наивным, пытался что-то доказать американским ватникам в Фейсбуке. Когда ватники мне долдонили про консенсус всех 100500 of intelligence community, я у них спрашивал "а что - каждый из этих 100500 провел свое независимое расследование и вот результаты магически сошлись ?". Ну ответ понятно был "ах так ты deny способности наших доблестных органов?" Вот казалось бы - в свободной стране родились и выросли, а такой замшелый совок в башке ..

Я, кстати, тогда не поленился, прочел полностью открытые документы и честно не понял на основании чего они сделали свои выводы. Что типа группа называется Fancy Bear ? А вот назови группу Pink Panda так они бы стали китайцами ? Или что в московском timezone работали ? Блять, ну какой же это детский сад, рассчитанный на идиотов типа Якова-Джеркова.