Irreparable invalid markup ('<meta [...] 10">') in entry. Owner must fix manually. Raw contents below.]
Отсюда - http://forum.ixbt.com/topic.cgi?id=54:55473-83#2370
<DD>via <a href="http://lj.rossia.org/users/anticompromat/1513088.html?thread=19288960#t19288960">Аноним</a>
(автор считает версию доказанной)
<b>Доказательство факта вброса писем задним числом</b>.
Введение.
Взяться за анализ возможности вброса писем в ящик Навального, заставили следующие факты.
1.Все старые до 2010 года, входящие письма с DKIM-ом, от Белковского и КО стерты, кроме одного, «Персмким сюжетом 2009». Эти письма фигурируют только в ответах Навального, которые не содержат DKIM, так как отправленные письма от респондента не подписываются цифровой подписью. Проверить их на подлинность нельзя. Факт отсутствия входящих писем выглядел весьма подозрительно.
2. Манипулирование со входящими письмами, которые должны были содержать DKIM, но его не содержали. Об этом будет позже.
<lj-cut>
3. Заявление хакера, взломавшего почту, о том, что факты манипуляции с письмами невозможны (выложены в формате TBB).
4. Скачущий размер писем с вложениями, без правки которых, проверка по DKIM не проходила, что также заставляло подозревать манипуляции с письмами.
5.Наибольшая активность якобы Белковского и КО именно в тот момент, когда Навальный был поражен троянами СМС-вымогателями (январь 2010). Специалисту зарутить такой дырявый компьютер проблем не представляет, если даже безмозглый Троян-автомат смог это сделать.
Поехали.
1.Техника модификации почты в формате TBB.
Подделывается средствами TheBat. Берем ящик. Засылаем в почту сегодняшним числом кучу компромата. Скачиваем в TheBat. Выделяем сегодняшние письма, Инструменты - экспортировать в EML. Удаляем сегодняшние письма из TheBat, кроме тех которые нужно оставить для контроля по dkim.
В обычном редакторе открываем кучу появившихся писем. Правим даты, стираем дкимы, подсовываем старые хедеры серваков. Сохраняем.
Инструменты - импортировать msg. Готовая компра встает на нужные нам числа. Выкладываем публике.
Формат TBB легко модифицируется.
2. Техника закачки в Gmail писем задним числом.
Качаем Thunderbird, ставим настраиваем его на акк нужной почты по IMAP и подключаемся.
Далее мы видим в клиенте все письма, что и на почте.
Начинаем набивать фейком, засылая с Yahoo письма. Для контроля подлинности, оставляем несколько цепочек писем сегодняшним числом. А другие сохраняем в eml прямо из Thunderbird-а и правим в текстовом редакторе, меняя даты.
Затем помещаем через Thunderbird обратно в ящик gmail, письма встают по времени как надо.
Для того, чтобы человек не заметил приходящее письмо сегодняшним числом, достаточно, как вариант,временно поставить в гмайле фильтр-автомат, который будет перебрасывать письма, например в соседние папки (не входящие).
Следовательно сама модификация возможна, причем 2 способами. А значит можно проводить анализ дальше.
3. По гуляющему размеру писем с вложениями. Хакер и некоторые блогеры говорили о том что это влияние TheBat. Для проверки этого предположения были посланы письма с Яхи на Гмайл, и скачены TheBat. Никакого негативного влияния на размер писем с вложениями выяленно не было. Письма правильно отображаются по размеру и спокойно проходят верификацию.
Следовательно, имело место иная модификация почтового ящика Навального, и TheBat, который используют чисто для скачки писем, тут не причем.
4. По фактам модификации входящих писем.
В процессе анализа было выявлено одно из писем от "von Aschenbach Gustav dinv@yandex.ru ", один из псевдонимов Болконского. 4 июня он поздравляет Навального с днем рождения, и Навальный ему отвечает.
Но.
Также 4 июня Навального поздравляет некий Сергей, с гмайла. Близкий соратник Навального, но тот его почему то игнорирует. Хотя во всех остальных случаях исправно отвечал. Далее, если посмотреть свойства письма, внезапно оказывается, что нет на месте DKIM-а, а ведь гмайл всегда его исправно ставит. И точно, если посмотреть остальные письма Сергея, dkim на месте, как и положено. Подлинность можно проверить.
http://www.webfilehost.com/?mode=viewupload&id=2926454
Подозрения в факте модификации, в связи с волшебно исчезающими DKIM-ами, в нужных местах, уже перерастают в уверенность.
</lj-cut>
5. А теперь гвоздь программы, доказательство того что Итальянец и Сполето, это не Белковский и Карев, а один и тотже, человек фабрикатор.
Берем письмо
Oleggio Boticelli <boleggio@yahoo.it>
Алексей Навальный <navalny@gmail.com>
ТЕКУЩЕЕ ПО ОД
И начинаем изучать его структуру, находим крайне интересную строчку.
Microsoft Word 10"><meta name=3D"Originator" content=3D"Microsof= t Word 10"><link rel=3D"File-List" href=3D"file:/C:%5CDOCUME%7E1%5CWriter%5CLOCALS%7E1%5CTemp%5Cmsohtml1%5C= 01%5Cclip_filelist.xml">
Эта строчка говорит от том что некий человек, под логином Writer настрочил это письмецо, к письмецу незаметно прилепилась ссылка на компонент.
Далее запускаем глобальный поиск по почте и что мы видим?
from Spoleto <spoleto@gmail.com>
Navalny Alexey <navalny@gmail.com>
Дополнение к докладу - выводы
Дешифруем тело письма из base64 и оп-па.
<meta http-equiv="Content-Type" content="text/html; chars et=utf-8"><meta name="ProgId" content="Word.Document"><me ta name="Generator" content="Microsoft Word 10"><meta nam e="Originator" content="Microsoft Word 10"><link rel="Fil e-List" href="file:///C:%5CDOCUME%7E1%5CWriter%5CLOCALS%7 E1%5CTemp%5Cmsohtml1%5C01%5Cclip_filelist.xml"><style> <!
Смотрите сами.
http://www.webfilehost.com/?mode=viewupload&id=9620708
Более того.
http://www.webfilehost.com/?mode=viewupload&id=7462721
Вот письма с вложениями, от Бялковского и Карева (+Густав) за 3 года, везде этот Writer в свойствах doc.
3 года Карев и Белковский работали за одним ноутом, имея на руках огромные большие денежные средства, на которые можно купить сотни машин? Это абсурд.
Просто некто лепил досписки в доках задним число и засветил свой аккаунт.
Но это еще не все.
Немой свидетель, единственное письмо с DKIM-ом, от Белковского за 2009 год, не проходит валидацию...
Дело в лишних байтах, так как письмо с вложениями?
Нет… стирание лишних строк не помогает, как с другими. Все проще.
Смотрите скриншот.
http://s016.radikal.ru/i334/1111/79/942ea60dd70f.jpg
Идеальное совпадение размера! Это письмо, которое сидит в своем первозданном виде. Это выдает ее уникальность, по сравнению с остальными. Раз оно сидит в своем первозданном виде, то править ничего не нужно, оно просто не проходит валидацию потому что фальшивка, вброшенная задним числом.
И кстати слитые 01.08 письма с вложениями, так же дико колбасит по размерам, кроме Пермского.
http://s017.radikal.ru/i436/1111/65/de86b3647480.jpg
Делаю ставку, что когда некто закачивал это письмо задним числом, его почтовый клиент при реиндексации повредил остальные письма с вложениями.
Таким образом, считаю факт вброса писем, обоснованно доказанным.
upd. Какие то странные косяки с файл хостингом, дублирую вложения
http://www.sendspace.com/file/api6wj
http://www.mediafire.com/?43z1irz2rgq1z5g
Отсюда - http://forum.ixbt.com/topic.cgi?id=54:55473-83#2370
<DD>via <a href="http://lj.rossia.org/users/anticompromat/1513088.html?thread=19288960#t19288960">Аноним</a>
<br>
