anticompromat aka Abbot - версия вброса [в базу хакерхелла "ящик писем Овального"] писем [Белковского и др] задним числом [entries|archive|friends|userinfo]
anticompromat

[ userinfo | ljr userinfo ]
[ archive | journal archive ]

версия вброса [в базу хакерхелла "ящик писем Овального"] писем [Белковского и др] задним числом [Nov. 9th, 2011|02:21 pm]
Previous Entry Add to Memories Tell A Friend Next Entry
Отсюда - http://forum.ixbt.com/topic.cgi?id=54:55473-83#2370
via Аноним

(автор считает версию доказанной)

Доказательство факта вброса писем задним числом.

Введение.
Взяться за анализ возможности вброса писем в ящик Навального, заставили следующие факты.
1.Все старые до 2010 года, входящие письма с DKIM-ом, от Белковского и КО стерты, кроме одного, «Персмким сюжетом 2009». Эти письма фигурируют только в ответах Навального, которые не содержат DKIM, так как отправленные письма от респондента не подписываются цифровой подписью. Проверить их на подлинность нельзя. Факт отсутствия входящих писем выглядел весьма подозрительно.
2. Манипулирование со входящими письмами, которые должны были содержать DKIM, но его не содержали. Об этом будет позже.



3. Заявление хакера, взломавшего почту, о том, что факты манипуляции с письмами невозможны (выложены в формате TBB).
4. Скачущий размер писем с вложениями, без правки которых, проверка по DKIM не проходила, что также заставляло подозревать манипуляции с письмами.
5.Наибольшая активность якобы Белковского и КО именно в тот момент, когда Навальный был поражен троянами СМС-вымогателями (январь 2010). Специалисту зарутить такой дырявый компьютер проблем не представляет, если даже безмозглый Троян-автомат смог это сделать.
Поехали.

1.Техника модификации почты в формате TBB.
Подделывается средствами TheBat. Берем ящик. Засылаем в почту сегодняшним числом кучу компромата. Скачиваем в TheBat. Выделяем сегодняшние письма, Инструменты - экспортировать в EML. Удаляем сегодняшние письма из TheBat, кроме тех которые нужно оставить для контроля по dkim.
В обычном редакторе открываем кучу появившихся писем. Правим даты, стираем дкимы, подсовываем старые хедеры серваков. Сохраняем.
Инструменты - импортировать msg. Готовая компра встает на нужные нам числа. Выкладываем публике.

Формат TBB легко модифицируется.

2. Техника закачки в Gmail писем задним числом.
Качаем Thunderbird, ставим настраиваем его на акк нужной почты по IMAP и подключаемся.
Далее мы видим в клиенте все письма, что и на почте.
Начинаем набивать фейком, засылая с Yahoo письма. Для контроля подлинности, оставляем несколько цепочек писем сегодняшним числом. А другие сохраняем в eml прямо из Thunderbird-а и правим в текстовом редакторе, меняя даты.
Затем помещаем через Thunderbird обратно в ящик gmail, письма встают по времени как надо.
Для того, чтобы человек не заметил приходящее письмо сегодняшним числом, достаточно, как вариант,временно поставить в гмайле фильтр-автомат, который будет перебрасывать письма, например в соседние папки (не входящие).

Следовательно сама модификация возможна, причем 2 способами. А значит можно проводить анализ дальше.

3. По гуляющему размеру писем с вложениями. Хакер и некоторые блогеры говорили о том что это влияние TheBat. Для проверки этого предположения были посланы письма с Яхи на Гмайл, и скачены TheBat. Никакого негативного влияния на размер писем с вложениями выяленно не было. Письма правильно отображаются по размеру и спокойно проходят верификацию.

Следовательно, имело место иная модификация почтового ящика Навального, и TheBat, который используют чисто для скачки писем, тут не причем.

4. По фактам модификации входящих писем.
В процессе анализа было выявлено одно из писем от "von Aschenbach Gustav dinv@yandex.ru ", один из псевдонимов Болконского. 4 июня он поздравляет Навального с днем рождения, и Навальный ему отвечает.
Но.
Также 4 июня Навального поздравляет некий Сергей, с гмайла. Близкий соратник Навального, но тот его почему то игнорирует. Хотя во всех остальных случаях исправно отвечал. Далее, если посмотреть свойства письма, внезапно оказывается, что нет на месте DKIM-а, а ведь гмайл всегда его исправно ставит. И точно, если посмотреть остальные письма Сергея, dkim на месте, как и положено. Подлинность можно проверить.
http://www.webfilehost.com/?mode=viewupload&id=2926454

Подозрения в факте модификации, в связи с волшебно исчезающими DKIM-ами, в нужных местах, уже перерастают в уверенность.



5. А теперь гвоздь программы, доказательство того что Итальянец и Сполето, это не Белковский и Карев, а один и тотже, человек фабрикатор.

Берем письмо
Oleggio Boticelli <boleggio@yahoo.it>
Алексей Навальный <navalny@gmail.com>
ТЕКУЩЕЕ ПО ОД

И начинаем изучать его структуру, находим крайне интересную строчку.

Microsoft Word 10">
[Error: Irreparable invalid markup ('<meta [...] 10">') in entry. Owner must fix manually. Raw contents below.]

Отсюда - http://forum.ixbt.com/topic.cgi?id=54:55473-83#2370
<DD>via <a href="http://lj.rossia.org/users/anticompromat/1513088.html?thread=19288960#t19288960">Аноним</a>

(автор считает версию доказанной)

<b>Доказательство факта вброса писем задним числом</b>.

Введение.
Взяться за анализ возможности вброса писем в ящик Навального, заставили следующие факты.
1.Все старые до 2010 года, входящие письма с DKIM-ом, от Белковского и КО стерты, кроме одного, «Персмким сюжетом 2009». Эти письма фигурируют только в ответах Навального, которые не содержат DKIM, так как отправленные письма от респондента не подписываются цифровой подписью. Проверить их на подлинность нельзя. Факт отсутствия входящих писем выглядел весьма подозрительно.
2. Манипулирование со входящими письмами, которые должны были содержать DKIM, но его не содержали. Об этом будет позже.

<lj-cut>

3. Заявление хакера, взломавшего почту, о том, что факты манипуляции с письмами невозможны (выложены в формате TBB).
4. Скачущий размер писем с вложениями, без правки которых, проверка по DKIM не проходила, что также заставляло подозревать манипуляции с письмами.
5.Наибольшая активность якобы Белковского и КО именно в тот момент, когда Навальный был поражен троянами СМС-вымогателями (январь 2010). Специалисту зарутить такой дырявый компьютер проблем не представляет, если даже безмозглый Троян-автомат смог это сделать.
Поехали.

1.Техника модификации почты в формате TBB.
Подделывается средствами TheBat. Берем ящик. Засылаем в почту сегодняшним числом кучу компромата. Скачиваем в TheBat. Выделяем сегодняшние письма, Инструменты - экспортировать в EML. Удаляем сегодняшние письма из TheBat, кроме тех которые нужно оставить для контроля по dkim.
В обычном редакторе открываем кучу появившихся писем. Правим даты, стираем дкимы, подсовываем старые хедеры серваков. Сохраняем.
Инструменты - импортировать msg. Готовая компра встает на нужные нам числа. Выкладываем публике.

Формат TBB легко модифицируется.

2. Техника закачки в Gmail писем задним числом.
Качаем Thunderbird, ставим настраиваем его на акк нужной почты по IMAP и подключаемся.
Далее мы видим в клиенте все письма, что и на почте.
Начинаем набивать фейком, засылая с Yahoo письма. Для контроля подлинности, оставляем несколько цепочек писем сегодняшним числом. А другие сохраняем в eml прямо из Thunderbird-а и правим в текстовом редакторе, меняя даты.
Затем помещаем через Thunderbird обратно в ящик gmail, письма встают по времени как надо.
Для того, чтобы человек не заметил приходящее письмо сегодняшним числом, достаточно, как вариант,временно поставить в гмайле фильтр-автомат, который будет перебрасывать письма, например в соседние папки (не входящие).

Следовательно сама модификация возможна, причем 2 способами. А значит можно проводить анализ дальше.

3. По гуляющему размеру писем с вложениями. Хакер и некоторые блогеры говорили о том что это влияние TheBat. Для проверки этого предположения были посланы письма с Яхи на Гмайл, и скачены TheBat. Никакого негативного влияния на размер писем с вложениями выяленно не было. Письма правильно отображаются по размеру и спокойно проходят верификацию.

Следовательно, имело место иная модификация почтового ящика Навального, и TheBat, который используют чисто для скачки писем, тут не причем.

4. По фактам модификации входящих писем.
В процессе анализа было выявлено одно из писем от "von Aschenbach Gustav dinv@yandex.ru ", один из псевдонимов Болконского. 4 июня он поздравляет Навального с днем рождения, и Навальный ему отвечает.
Но.
Также 4 июня Навального поздравляет некий Сергей, с гмайла. Близкий соратник Навального, но тот его почему то игнорирует. Хотя во всех остальных случаях исправно отвечал. Далее, если посмотреть свойства письма, внезапно оказывается, что нет на месте DKIM-а, а ведь гмайл всегда его исправно ставит. И точно, если посмотреть остальные письма Сергея, dkim на месте, как и положено. Подлинность можно проверить.
http://www.webfilehost.com/?mode=viewupload&id=2926454

Подозрения в факте модификации, в связи с волшебно исчезающими DKIM-ами, в нужных местах, уже перерастают в уверенность.

</lj-cut>

5. А теперь гвоздь программы, доказательство того что Итальянец и Сполето, это не Белковский и Карев, а один и тотже, человек фабрикатор.

Берем письмо
Oleggio Boticelli <boleggio@yahoo.it>
Алексей Навальный <navalny@gmail.com>
ТЕКУЩЕЕ ПО ОД

И начинаем изучать его структуру, находим крайне интересную строчку.

Microsoft Word 10"><meta name=3D"Originator" content=3D"Microsof= t Word 10"><link rel=3D"File-List" href=3D"file:/C:%5CDOCUME%7E1%5CWriter%5CLOCALS%7E1%5CTemp%5Cmsohtml1%5C= 01%5Cclip_filelist.xml">

Эта строчка говорит от том что некий человек, под логином Writer настрочил это письмецо, к письмецу незаметно прилепилась ссылка на компонент.

Далее запускаем глобальный поиск по почте и что мы видим?

from Spoleto <spoleto@gmail.com>
Navalny Alexey <navalny@gmail.com>
Дополнение к докладу - выводы

Дешифруем тело письма из base64 и оп-па.
<meta http-equiv="Content-Type" content="text/html; chars et=utf-8"><meta name="ProgId" content="Word.Document"><me ta name="Generator" content="Microsoft Word 10"><meta nam e="Originator" content="Microsoft Word 10"><link rel="Fil e-List" href="file:///C:%5CDOCUME%7E1%5CWriter%5CLOCALS%7 E1%5CTemp%5Cmsohtml1%5C01%5Cclip_filelist.xml"><style> <!

Смотрите сами.

http://www.webfilehost.com/?mode=viewupload&id=9620708

Более того.
http://www.webfilehost.com/?mode=viewupload&id=7462721

Вот письма с вложениями, от Бялковского и Карева (+Густав) за 3 года, везде этот Writer в свойствах doc.
3 года Карев и Белковский работали за одним ноутом, имея на руках огромные большие денежные средства, на которые можно купить сотни машин? Это абсурд.
Просто некто лепил досписки в доках задним число и засветил свой аккаунт.

Но это еще не все.
Немой свидетель, единственное письмо с DKIM-ом, от Белковского за 2009 год, не проходит валидацию...

Дело в лишних байтах, так как письмо с вложениями?
Нет… стирание лишних строк не помогает, как с другими. Все проще.
Смотрите скриншот.

http://s016.radikal.ru/i334/1111/79/942ea60dd70f.jpg
Идеальное совпадение размера! Это письмо, которое сидит в своем первозданном виде. Это выдает ее уникальность, по сравнению с остальными. Раз оно сидит в своем первозданном виде, то править ничего не нужно, оно просто не проходит валидацию потому что фальшивка, вброшенная задним числом.
И кстати слитые 01.08 письма с вложениями, так же дико колбасит по размерам, кроме Пермского.
http://s017.radikal.ru/i436/1111/65/de86b3647480.jpg
Делаю ставку, что когда некто закачивал это письмо задним числом, его почтовый клиент при реиндексации повредил остальные письма с вложениями.

Таким образом, считаю факт вброса писем, обоснованно доказанным.

upd. Какие то странные косяки с файл хостингом, дублирую вложения
http://www.sendspace.com/file/api6wj
http://www.mediafire.com/?43z1irz2rgq1z5g

Отсюда - http://forum.ixbt.com/topic.cgi?id=54:55473-83#2370
<DD>via <a href="http://lj.rossia.org/users/anticompromat/1513088.html?thread=19288960#t19288960">Аноним</a>
<br>
LinkLeave a comment

Comments:
From:(Anonymous)
Date:November 9th, 2011 - 10:17 am
(Link)
А-а-а помню, помню добровольных помошников, которые доказывали, что "деанонимизация" Хэлла правдивая. Теперь очередные студенты-сцынки подтянулись
From:(Anonymous)
Date:November 9th, 2011 - 01:30 pm
(Link)
... а позже сцынок-студент обнаружил что под врайтером сидит он сам.
Продолжайте жечь Владимир, зело достовляет.
From:(Anonymous)
Date:November 9th, 2011 - 04:20 pm
(Link)
Для того, чтобы посмотреть свойства этого .doc достаточно http://www.javacoolsoftware.com/dsdownload.html , можно даже офис не искать. Тем более, 2003 искать долго, а современные такое говнище, что ставить не хочется совершенно.
From:(Anonymous)
Date:November 9th, 2011 - 04:22 pm
(Link)
А что The bat не позволяет по IMAP заливать в произвольные папки? Фу, какой позор, молдаване деньги с пользователей дерут за каждую новую версию, а такую функцию добавить не могут.
From:(Anonymous)
Date:November 9th, 2011 - 06:32 pm
(Link)
Как же тупые придурки спалились с Writer, это же просто такой позор, что больше не придумать. Даже сфальсифицировать туфту не могут.
From:(Anonymous)
Date:November 10th, 2011 - 12:32 pm
(Link)
Как раз этот аргумент про Writer - самый слабый. В оффисе per default стоит именно этот Writer, большинство людей не заморачиваются и не изменяют эту настройку по умолчанию. Гораздо интереснее аргументация про валидацию по DKIM.
From:(Anonymous)
Date:November 9th, 2011 - 09:56 pm
(Link)
Что-то рыковские совсем обосрались. bloground полностью разоблачили, да и не работает он толком, фальсификацию полностью разоблачили, политическая направленность взломов хэлла стала всем очевидной. Даже не знаю, как теперь они его сливать будут. Не зря в последнее время хэлл как-то затух, много не пишет, всех не говнит в своём обычном стиле, даже эту статью не заговнил. Видимо лихорадочно думают, что же делать теперь.
From:[info]spoleto
Date:November 10th, 2011 - 06:43 am
(Link)
А где доказательство фальсификации, я не понял? Никакой методики подделки
DKIM так и не было предложено, а ряд важнейших писем, содержащих компромат
как раз его содержат. Все остальные "свидетельства манипуляции" являются
глубоко субъективными впечатлениями хомячка spektr1, просто что-то ему там
"кажется подозрителным", ну кажется - пусть дальше кажется.
From:(Anonymous)
Date:November 10th, 2011 - 10:12 am
(Link)
Стало известно, что архив писем далеко не полный и что там есть письма, DKIM не проходящие или вообще им не подписанные. Так что грош цена такому «компромату». Про письма от разных людей под одним логином я и не говорю, это явное фуфло, в реальной жизни так просто НЕ БЫВАЕТ.
From:[info]spoleto
Date:November 10th, 2011 - 10:51 am
(Link)
Где письма, DKIM не проходящие? Пока что никто таких не предъявил.
Вся переписка Белковского с Навальным верификацию проходит, я проверял,
и письмо за 2009 тоже валидацию проходит, у анонима спектр просто
кривые руки.
Что есть письма неподписанные - это с самого начала было известно,
исходящие точно остаются неподписанными, письма, посланные с гмэйла
на гмэйл, тоже никогда не имеют DKIMа.
Подлинный архив не обязан быть полным, мало ли какие письма стирал
навальный у себя в ящике и почему. Например, у него раньше был настроен
почтовый клиент по POP3, который по дефолтным настройкам всю почту стирает,
а потом он настроил клиент по IMAP4 или перешёл на веб-интерфейс.
Письма от разных людей под одним логином не доказаны, Microsoft Word 10
стоит у очень многих людей.

Что ещё? "Доказательство" - полное фуфло.
From:(Anonymous)
Date:November 10th, 2011 - 11:41 am
(Link)
Про письмо за 2009 интересно.
Закачай на куданибуть пресловутое пермское письмо которое у тебя проходит валидацию.
http://9vx.org/~dho/dkim_validate.php
Которое взято отсюда или из переписки выложенное хэлом, действительно полную полную валидацию не проходит. Пишет, что тело письма измененно.
From:[info]spoleto
Date:November 10th, 2011 - 12:40 pm
(Link)
http://webfile.ru/5659173
Это имеется в виду? там за 2009 одно входящее, вроде.
From:(Anonymous)
Date:November 10th, 2011 - 01:51 pm
(Link)
Значит теория вброса не верна.
Открыл 3-х гиговый TBB тупо в текстовом редакторе, там действительно нужное расположение строчек, такое же как в Вашем письме. Бат действительно довольно хитро их перекореживал при экспорте. Даже размер совпал.
Остальные утверждения конечно довольно жидкие, на 2009 письмо и был фактический упор.
From:(Anonymous)
Date:November 13th, 2011 - 06:52 pm
(Link)
Spektr1 позже добавил:

Эх развенчали тут мою теорию.
Пермское письмо после расстановки нужных строчек валидацию все-таки проходит.