Вече и малките деца знаят, че някой си публикувал в Интернет “секретният доклад” на ДАНС. Като оставим настрана какво говори този факт за милата Родина, както и без да се вълнуваме от съдържанието, изниква въпросът кой я свърши тази работа. Тук ще опиша няколко стандартни стъпки, които могат да се предприемат в такива случаи, използвайки попадналата ми възможност за широки спекулации. Всичко описано по-долу може да бъде извършено от всеки грамотен Интернет потребител, без използване на инвазивни методи или по-специален достъп.
Първо, след кратко търсене се оказва, че всички медии са пуснали връзки към 4shared или към svejo.net, като първото е самият хостинг, а второто – страница за споделяне на връзки между потребители в Интернет. В споделеното пространство в 4shared откриваме един tgz архив и 26 jpg файла, качени от потребител “kamchia”. Въпросният потребител явно е отбелязал, че не желае контактните му детайли да са публично достояние. Сваляме намерените файлове и без да се затормозяваме с отварянето им за момента, продължаваме нататък.
На svejo.net отново попадаме на познатият ни потребител “Kamchia”. Разглеждайки профила му откриваме, че е споделил още три връзки, отново към 4shared, но този път към файловете на друг потребител – gamizbond.(регистриран още на 2 окт 2009 г.) Тук вече имаме достъп до профила, в URL-то към който очевидно имаме санитиран електронен адрес: gamizbondabvbg -> gamizbond@abv.bg . Сещайки се, че svejo.net удобно използват Gravatar за показване на потребителските снимки, връщаме се обратно и виждаме генерираният аватар на Kamchia. Който е разглеждал услугата с по-критичен поглед знае, че в URL-то се подава MD5 хеш на електронният адрес, в случая на лицето в svejo.net, което споделя връзките. В нашият случай откриваме, че f4332600438ab3197ac61a3c99cc9431 е MD5 хеш от вече познатият ни e-mail gamizbond@abv.bg. Не беше силно изненадващо, но поне имаме някаква форма на доказателство за връзката kamchia <-> gamizbond.
Нека сега обърнем малко внимание на файловете. Декомпресираме архива, виждаме че съдържа всички останали картинки и проверяваме какво има в EXIF таговете им. В поддиректория gamizov, таговете са зачистени. От spravka , обаче става ясно, че картинките са сканирани/обработени с Adobe Photoshop CS2 под Windows, както и времето в което това се е случило. По резолюцията пък може да се проучи и моделът на скенера. Разбира се, EXIF записите могат да се манипулират.
По-интересни неща откриваме, разглеждайки хедърите на tgz архива. От тях става ясно, че *nix потребителя Nasko , от групата Nasko е компресирал файловете, имащи респективното време на модификация. С HEX редактора откриваме, че uid/gid на потребителя е 767. Това е малко странно, имайки предвид uid/gid резервациите при по-разпространените Linux дистрибуции е над 1000 (Debian/SUSE) и над 300 при RedHat базираните (а при *BSD?). Това значи, че за да има такъв uid, потребителят Nasko използва RedHat дистрибуция (респ. Fedora/CentOS) и то вероятно на споделен хостинг, от където е създал и качил архива на 4shared. Разбира се, горните записи също могат да бъдат манипулирани ;)
Горните действия ми отнеха под 10 минути. Следите може и да са финно моделирани, за да насочат в определена посока. Такава очевидно има и компетентните е време да поемат натам.
Leave a Reply